stopovirus Index du Forum
Connexion S’enregistrer FAQ Membres Rechercher stopovirus Index du Forum

Worm:W32/Mabezat.B


 
Poster un nouveau sujet   Répondre au sujet    stopovirus Index du Forum » Informations » Les infections typiques
Sujet précédent :: Sujet suivant  
Auteur Message
Geronimo
Administrateur

En ligne

Inscrit le: 07 Fév 2010
Messages: 4 173
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Dim 25 Sep - 10:27 (2011)    Sujet du message: Worm:W32/Mabezat.B Répondre en citant

Worm:W32/Mabezat.B

  • C'est un programme malveillant autonome qui utilise l'ordinateur ou des ressources de réseau pour faire les copies complètes de lui. Peut inclure le code ou d'autre logiciel malveillant pour endommager tant le système que le réseau.
  • Worm:W32/Mabezat. B s'étend par des fichiers joints à un message électronique infectés, des lecteurs amovibles (clé USB et Disque dur externe)
  • Le ver inclut la fonctionnalité de se comporter comme un fichier polymorphe ce qui le rend difficile à éradiquer, il infecte principalement fichiers exécutables.

  • Nom : Worm:W32/Mabezat.B
  • Noms de détection :
    • W32.Worm.Mabezat.Gen
    • Worm.Win32.Mabezat.b
    • Mabezat.B

  • Alias :
    • W32/Mabezat
    • W32.Mabezat.B
    • W32/Mabezat-B
    • PE_MABEZAT.B-O
    • Virus:Win32/Mabezat.B

  • Catégorie : Malware
  • Type : Ver
  • Type : Virus
  • Plateforme : W32


Installation

Le ver copie les fichiers suivants à la racine du disque dur :
  • %root%\autorun.inf
  • %root%\zPharaoh.exe

Le fichier autorun.inf contient le code suivant

  • [AutoRun]
  • ShellExecute=zPharaoh.exe
  • shell\open\command=zPharaoh.exe
  • shell\explore\command=zPharaoh.exe
  • open=zPharaoh.exe

Le processus est utilisé pour automatiquement exécuter zPharaoh.exe, qui contient le code exécutable. Il est aussi capable de se propager via un lecteur externe
Le virus crée aussi le dossier suivant :
  • C:\Documents and Settings\%Nom de l’utilisateur courant%\Application Data\tazebama

Le ver modifie le registre et désactive certaines fonctions dans ce dernier
Il supprime l'entrée suivante:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoDriveTypeAutoRun = 00000091

Et crée cette entrée :
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    ShowSuperHidden = 00000000

Dans un rapport de UsbFix
  • ################## | Elements infectieux |

  • G:\zPharaoh.exe
  • G:\1.taz
  • G:\zPharaoh.exe

  • ################## | Mabezat |

  • C:\DOCUME~1\xp\APPLIC~1\tazebama\zPharaoh.dat
  • C:\DOCUME~1\xp\APPLIC~1\tazebama
  • C:\Program Files\Acronis\TrueImageHome\TrueImage.exe
  • C:\Program Files\Fichiers communs\Acronis\MediaBuilder\MediaBuilder.exe
  • C:\Program Files\Fichiers communs\Acronis\TrueImageHome\TrueImageHomeService.exe
  • C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
  • C:\Program Files\Nero\Nero 9\Nero Burning ROM\Nero.exe
  • C:\Program Files\Nero\Nero 9\Nero Express\NeroExpress.exe
  • C:\Program Files\TuneUp Utilities 2008\Integrator.exe
  • C:\Program Files\Windows Live\Messenger\msnmsgr.exe
  • C:\System Volume Information\_restore{60B9ED16-D72D-4A08-9BA5-1C6E2A046390}\RP1\A0000008.exe
  • D:\Mes documents\emoticone\emoticones_megapack.exe
  • G:\tiziano ferro.doc .exe
  • G:\zPharaoh.exe

Dr web
  • avira_antivir_personal_free.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • OTM.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • RSIT.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • xp.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • zPharaoh.exe C:\ Win32.HLLW.Tazebama Supprimé.
  • tazebama.dl_ c:\documents and settings Win32.HLLW.Tazebama Supprimé.
  • tazebama.dll c:\documents and settings Win32.HLLW.Tazebama Supprimé.
    • C:\Program Files\Fichiers communs\Microsoft Shared\DW\DWTRIG20.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\msinfo32.exe; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\OINFOP12.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ACECNFLT.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSE7.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLED.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\OFFDIAG.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\ODEPLOY.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\SETUP.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\OFFLB.EXE; Cleaned

Combofix
  • (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

  • c:\documents and settings.\hook.dl_
  • c:\documents and settings.\tazebama.dl_
  • c:\documents and settings.\tazebama.dll
  • c:\documents and settings\xp\Application Data\tazebama
  • c:\documents and settings\xp\Application Data\tazebama\tazebama.log
  • c:\documents and settings\xp\Application Data\tazebama\zPharaoh.dat
  • c:\windows\system32\drivers\fblq.sys
  • C:\zPharaoh.exe
  • D:\zPharaoh.exe
  • c:\documents and settings.\hook.dl_ . . . . impossible à supprimer
  • c:\documents and settings.\tazebama.dl_ . . . . impossible à supprimer
  • c:\documents and settings.\tazebama.dll . . . . impossible à supprimer

Rmmabez
  • ============ Remover for Win32/Mabezat ===============
  • Date: 26.03.2010 17:00
  • C:\autorun.inf\lpt3.This folder was created by UsbFix; Can't open
  • C:\cmdcons\autochk.exe; OK
  • C:\cmdcons\autofmt.exe; OK
  • C:\cmdcons\SYSTEM32\SMSS.EXE; OK
  • C:\Documents and Settings\All Users\Application Data\Nero\Nero BackItUp 4\Cache\BIU5.txt; Can't open
  • C:\Documents and Settings\hook.dl_; Deleted
  • C:\Documents and Settings\LocalService\Application Data\Acronis\TrueImageHome\Logs\EAAF8209-B925-4D26-9878-B30FC4EA8FDB.log; Can't open
  • C:\Documents and Settings\LocalService\Cookies\index.dat; Can't open
  • C:\Documents and Settings\tazebama.dl_; Deleted
  • C:\Documents and Settings\xp\Bureau\ComboFix.exe; Cleaned
  • C:\Documents and Settings\xp\Mes documents\Téléchargements\avira_antivir_personal_free.exe; OK
  • C:\Documents and Settings\xp\Mes documents\Téléchargements\OTM.exe; OK


Les outils utilisés pour lutter contre cette infection

rmmabez

UsbFix

Malwarebytes Antimalware

Combofix
A n'utiliser qu'avec l'aval d'un Helper Sécu



_________________


Dernière édition par Geronimo le Dim 25 Sep - 15:34 (2011); édité 1 fois
Revenir en haut
Publicité






MessagePosté le: Dim 25 Sep - 10:27 (2011)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?


Revenir en haut
zaede
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 1 459
Localisation: Est de la France
Sexe: Masculin

MessagePosté le: Dim 25 Sep - 11:19 (2011)    Sujet du message: Worm:W32/Mabezat.B Répondre en citant




Infection pernicieuse parfois complexe à supprimer


Revenir en haut
Contenu Sponsorisé






MessagePosté le: Aujourd’hui à 12:00 (2018)    Sujet du message: Worm:W32/Mabezat.B



Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    stopovirus Index du Forum » Informations » Les infections typiques Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  

Index | Panneau d’administration | forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001- 2004 phpBB Group
Designed for Trushkin.net | Styles Database
Traduction par : phpBB-fr.com