الموضوع: فيروس Win32.Mabezat.a معلومات عامة حول هذا الفيروس
عرض مشاركة واحدة

قديم 09-02-2009, 12:41 AM   المشاركة رقم: 1 (permalink)
المعلومات
الكاتب:
عبدالله الكناني
اللقب:
الدعم الفني
الرتبة:

الصورة الرمزية
 
الصورة الرمزية عبدالله الكناني

البيانات
التسجيل: Apr 2007
العضوية: 1
المشاركات: 4,216 [+]
بمعدل : 3.92 يوميا
اخر زياره : [+]
معدل التقييم: 50
نقاط التقييم: 265
عبدالله الكناني تربوي مبدع ومميز عبدالله الكناني تربوي مبدع ومميز عبدالله الكناني تربوي مبدع ومميز
 


التوقيت

الإتصالات
الحالة:
عبدالله الكناني غير متواجد حالياً
وسائل الإتصال:

المنتدى : الكمبيوتر والانترنت
افتراضي فيروس Win32.Mabezat.a معلومات عامة حول هذا الفيروس

بسم الله الرحمن الرحيم

اولا اشكر الاخ ابو عبدالرحمن اللي القى الضوء على هذا الفيروس
من خلال المشاركة
من هنا

قررت ان ابحث عنه اكثر في الانترنت لاني لم اواجهه لليوم و الحمد لله
و بعد القليل من البحث على الجوجل وجد كثيرا من المعلومات عنه الخصها كما يلي

النوع فيروس يصيب الويندوز باختلاف انواعه و يعمل ببيئه 32 بت win32 اي انه لا يعمل على نظام الدوس
الانتشار: الاقراص القابله للازاله مثل الفلاشات و الاقراص المرنه ايضا المجلدات و الملفات المشتركه على الشبكه
اسماء الخرى له (حسب نوع مضاد الفيروسات )

  1. * W32/Mabezat.b [Sophos]
  2. * Win32/Mabezat [AVG Grisoft]
  3. * Win32/Mabezat.A [Nod32]
  4. * Win32/Mabezat.B [Microsft]
  5. * Worm.Win32.Mabezat.b [Kaspersky]
العمل: ينسخ نفسه الى احد المواقع التاليه في الجهاز
* C:\Documents and Settings\tazebama.dl_
* C:\Documents and Settings\hook.dl_
* C:\Start Menu\Programs\Startup\zPharoh.exe
* \C:\Documents and Settings\[User Name]\Application\Data\tazebama\zPharaoh.dat
* C:\Documents and Settings\My Documents\readme.doc .exe
* [Drive Letter]:\zPharaoh.exe
* [Drive Letter]:\zPharaoh.inf
يعدل مفتاح ال registry التالي
Hkey_Current_User\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer "NoDriveTypeAutoRun"
ينشأ ملف autorun.inf يحوي المعلومات التاليه

اخيرا الازاله


نبذة عنه :

تاريخ الاكتشاف : 1 ديسمبر 2007
النوع : دودة
مدى الاصابة : 154,751 bytes (exe), 32,768 bytes (DLL(
أنظمة التشغيل اللي اصيبت : Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000



* * *


أنواعه .. و المسميات اللي يختبأ وراها :


اقتباسWin32/Mabezat.B (eTrust-Vet),
Worm.Win32.Mabezat.b (F-Secure),
Worm.Win32.Mabezat.b (Ikarus),
Worm.Win32.Mabezat.b (Kaspersky),
W32/Mabezat.a (McAfee),
Win32/Mabezat.A (NOD32v2),
Win32.Malware.gen!92 (Webwasher-Gateway(



* * *



ما هو هذا الفايروس ؟

تم تعريفه كملف طفيلي خبيث ذو اشكال عدة مختص بالملفات ذات الامتداد : .exe
يستخدم الاقراص الصلبة المتنقلة "مثل الفلاش ميموري" و ملفات الميديا
و المجلدات المتاحة على الشبكات الداخلية للإنتشار

.
.

و عندما يتم النقر على أحد ملفاته ، يبدأ بالقيام بالآتي :




(1)

يقوم بنسخ نفسه و وضع هذه النسخ في الأماكن التالية :


اقتباس%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dll





(2)

يقوم بإنشاء الملفات التالية :


اقتباس%SystemDrive%\Documhttp://bsmlh.net/up/view.php?pic=205a9cfd3fents and Settings\[USER NAME]\Application Data\tazebama
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat




(3)

يقوم بمسح مفتاح التسجيل و الخاص بإقلاع الأقراص التلقائي :


اقتباسHKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoDriveTypeAutoRun

مما يسهل عليه الانتشار في انحاء الجهاز دون الحاجة لتدخل المستخدم .




(4)

يقوم بإخفاء ملفات النظام .. حتى يبقى له نسخة فيها .. وذلك بمسح مفتاح التسجيل :

HKEY_CURRENT_USER\Software\Microsoft\Windows\
اقتباسCurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"




(5)

و أخيرا .. يقوم بإنشاء ملفات سفيرة له على الأقراص الأخرى ..


اقتباس[DRIVE]:\zPharaoh.exe
[DRIVE]:\autorun.inf




(6)

يبدأ الفايروس بالبحث عن ملفات التطبيق .. و اللي امتدادها .exe

و يعمل التالي :

1- يقوم بتشفير الملف الأصلي
2- يقوم بإنشاء ملف خبيث يحمل اسم الملف اللي قام بتشفيره





(7)

يبدأ في نشر اسمه عن طريق الشبكات مستخدم اليوزرات التالية :

anonymous
Administrator



(8)

يقوم بنسخ نفسه في ملفات المشاركة بالأسماء التالية :

اقتباسMy documents .exe
Readme.doc .exe
My Documents [SPACES].exe





(9)

يبدأ بإرسال ايميلات للشعب كالتالي :

اقتباسSubject: Windows
secrets
Attachment: FolderPW_CH(1).rar
Body:
The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it
.

ايميل دعائي لبرنامج يقوم بعمل باسوورد على المجلدات



اقتباس
Subject: Canada immigration
Attachment: IMM_Forms_E01.rar
Body:
The debate is no longer about whether Canada should remain open to
immigration. That debate becam [REMOVED] the required forms. The sender of this email got this article from our side and forwarded it to you

.

حول شؤون الهجرة بكندا



اقتباس
Subject: Viruses history
Attachments: virushistory.rar
Body:
Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There a [REMOVED] load the attached and decompress It by WinRAR. The sender has red the story and forwarded it to you.

كلمتين حول خطر الفايروسات هذه الايام .. و يطلب منك تحميل الملف و فك الضغط عنه





اقتباس
Subject: Web designer vacancy
Attachment: JobDetails.rar
Body:
Fortunately, we have recently received your CV/Resume from moister web site and we found it matching [REMOVED]
Thanks & Regards,
Ajy Bokra
Computer department.
[email] -تم حذف االبريد بواسطة الادارة _برجاء الالتزام بقوانين المنتديات مع الشكر _الادارة -[/email
]


لحسن حظك .. تم استلام نسخة من اوراقك الشخصية .. و اعجبنا بك




اقتباس

Subject: MBA new vision
Attachment: Marketing.rar
Body:
MBA (Master of business administration ) one of the most required degree around the world. We offer [REMOVED] Ajy klaf
-تم حذف االبريد بواسطة الادارة _برجاء الالتزام بقوانين المنتديات مع الشكر _الادارة -
The sender has added your name to be informed with our services
.

دعاية لشهادة الـ MBA





اقتباس
Subject: problem
Attachment: outlooklog.rar
Body:
When I had opened your last email I received some errors have been saved in the attached file. Please inform me with those errors as soon as possible.

"عندما استلمت رسالتك المرة الأخيرة كان فيها بعض الأخطاء .. يا ليت لو تبلغني عن هذه الاخطاء سريعا "


اقتباس
Subject: hi
Attachment: notes.rar
Body:
Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words. I wish you next time send me a readable file!. I forwarded the attached file again to evaluate your self.


لسوء الحظ .. وصلني منك ايميل .. و كان الملف المرفق معاه خربان .. انا ارسلت لك الملف عشان تتأكد من صحة كلامي "






(10)

و هذه بعض ملفاته اللي تم رصدها .. يقوم بنشرها بجهازك :


اقتباسwindows.rar
office_crack.rar
serials.rar
passwords.rar
windows_secrets.rar
source.rar
imp_data.rar
documents_backup.rar
backup.rar
MyDocuments.rar
HpphmfUppmcbsOpujgjfs/fyf
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe
FaxSend.exe
RecycleBinProtect.exe
Disk Defragmenter.exe
CD Burner.exe
ShowDesktop.exe
BrowseAllUsers.exe
LockWindowsPartition.exe
Win99compatibleXP.exe
MakeUrOwnFamilyTree.exe
WindowsXp StartMenu Settings.exe
Recycle Bin.exe
Adjust Time.exe
Microsoft Windows Network.exe
HP_LaserJetAllInOneConfig.exe
FloppyDiskPartion.exe
msjavx86.exe
AmericanOnLine.exe
Crack_GoogleEarthPro.exe
Lock Folder.exe
InstallMSN11En.exe
InstallMSN11Ar.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Office2007 Serial.txt.exe
Office2007 CD-Key.doc.exe
Make Windows Original.exe
NokiaN73Tools.exe
WinrRarSerialInstall.exe


(11)

يقوم أيضا بإنشاء الملفات التالية بحيث عند الكتابة على قرص ليزر (سي دي ) يقوم بنسخ نفسه داخلها .. و هي :


zPharaoh.exe
autorun.inf

و يضعها في المجلد :


اقتباس%UserProfile%\Local Settings\Application Data\Microsoft\CD Burning

و عند فتح ملف autorun.inf .. ستجده ملف نصي .. مكتوب داخله :


اقتباسShellExecute=zPharaoh.exeshell\open\command=zPhara oh.exeshell\explore\command=zPharaoh.exeopen=zPhar aoh.exe




(12)


بعض الابحاث اشارت بعد فك شفرة البرمجه .. إلى أنه يقوم بالآتي :

عندما يتصادف أن تكون السنة الميلادية في الجهاز أكبر من أو يساوي 2012
و الشهر يكون أكبر من أو يساوي 10
و اليوم أكبر من يساوي 16

يقوم بتشفير كل الملفات التي تحمل الامتدادت التالية :


اقتباسhlp
.pdf
.html
.txt
.aspx.cs
.aspx
.psd
.mdf
.rtf
.htm
.ppt
.php
.asp
.pas
.h
.cpp
.xls
.doc
.rar
.zip
.mdb



(13)

بعد أن يستفحل في جهازك تبدأ البرامج بفقدان قدرتها على العمل ..
و تظهر أمامك نافذة الويندوز .. اللي تشير الى حدوث خطأ عند تشغيل البرنامج و يجب اغلاقه .

و شوي شوي .. تصير معظم البرامج لا تعمل !!




* * *



طريقة التخلص منه :


طبعا أنا اصبت به الويك – إند اللي راح ... و بحثت عن طريقة التخلص منه في مواقع برامج مكافحة الفايروسات

بس أغلب الحلول كانت تستهدف ناس متخصصين في الحاسب
و فوق كذا .. يقولون إنه احتمال يروح و إحتمال لأ !!












توقيع : عبدالله الكناني






عرض البوم صور عبدالله الكناني   رد مع اقتباس