Меню

Укр Рус

Worm.Mabezat.Win32.3610

Виды вредоносных программ:
Worm.Mabezat.Win32.3610

Worm.Mabezat.Win32.3610 – опасный червь,  заражающий исполняемые файлы, а также   использующий съемные носители, сеть, CD диски  и электронную почту для своего распространения

Методы  распространения

Данный червь использует несколько методов для своего распространения

  1. Червь создаёт копии своего тела на всех доступных на запись локальных и съемных дисках. При размножении через съемные носители червь копирует себя  на носитель и создает сопутствующий файл autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.

  2. Червь получает список компьютеров, находящихся в сетевом окружении зараженной машины и записывает копию своего тела на все ресурсы, открытые для полного доступа. Имя для копии выбирается из списка, который червь содержит в своём теле. Имена файлов подобраны таким образом, чтобы спровоцировать пользователя на их запуск.
    Например:
          Office2007 Serial.txt.exe, Microsoft MSN.exe и т.п.

    Если доступа к сетевому ресурсу нет, червь пытается скопировать себя в папки: 

              \\ <имя компьютера> \ с $ \ Documents and Settings \
              \\ < имя компьютера >\ Start Menu \ Programs \ Startup \ 

    Используя следующие имена для авторизации: Administrator , Anonymous, и перебирая простые пароли 1, 111, 123 , ABC и т.п.

  3. Червь может распространяться, используя зараженные CD диски, для этого он создает свою копию, а также файл для его автозапуска в следующем каталоге:

      %ApplicationData%\Microsoft\CD Burning\zPharaoh.exe
      %ApplicationData%\Microsoft\CD Burning\autorun.inf

    Кроме того, червь старается заразить исполняемые файлы находящиеся в этом каталоге. В результате, при  записи диска, встроенной утилитой Microsoft, червь  записывается на CD диск.

  4. Червь сканирует файлы на зараженной машине в поиске e-mail адресов, после чего рассылает по ним электронные письма с прикреплённым файлом. Червь содержит несколько шаблонов писем, написанных таким образом, чтобы пользователь заинтересовался и запустил прикреплённый к письму файл.

    Например:
    Canada immigrationThe debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventuklly lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050. Download the attached file to know about the required forms. The sender of this email got this article from our side and forwarded it to you.

    Присоёдинённый файл с червём: IMM_Forms_E01.rar

  5. Данный червь имеет функциональность вируса и заражает исполняемые файлы. При заражении исполняемых файлов он расширяет последнюю секцию файла и записывает туда своё тело. Исходная точка входа не изменяется, код червя зашифрован полиморфным алгоритмом.

 

Функциональные возможности

После запуска, червь копирует своё тело в папку “C:\Documents and Settings“  под именами hook.dl_ , tazebama.dl_ , tazebama.dll, после чего копирует в  корень каждого логического и сетевого диска своё тело под именем zPharaoh.exe рразмером ~155 Кбайт. Скопированным файлам устанавливаются атрибуты "скрытый", "только чтение".  В корне каждого диска создаётся файл autorun.inf, который запускает копию червя, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Червь создает папку %ApplicationData%\tazebama, в которой создаёт файл zPharaoh.dat (tazebama trojan log file).

На всех съемных и локальных дисках, кроме диска “c:\”, червь ищет каталоги с файлами. В каждом  из этих каталогов червь создает копию своего тела с именем каталога и ррасширением "*.exe".

Если червь обнаруживает файлы с ррасширением "*.doc", тогда в том же каталоге создает свою копию с аналогичным именем и ррасширением "*.exe".

Червь отключает отображения скрытых файлов и папок, и показ расширений для зарегистрированных типов файлов,  изменяя значения реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden= 0x2
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 0x1
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden=0x0

Червь отключает блокировку автоматического запуска файлов "autorun.inf", удалив параметр ключа реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun

Для доступа к сети Internet червь внедряет свой код в адресное пространство браузера Internet Explorer.

Для проверки соединения с Интернет, червь соединяется  с одним из следующих ресурсов:

http://www.hotmail.com
http://www.britishcouncil.com
http://www.microsoft.com
http://www.yahoo.com

Для определения своего присутствия в системе  червь создаёт уникальный идентификатор "mutex", который используется для предотвращения многократного запуска червя на одном компьютере.

Деструктивные возможности

Если выполняются  следующие условия, вирус шифрует файлы:
Если дата создания файла больше или равна 16 октября 2012 года и ррасширение файла:

.hlp
.pdf
.html
.txt
.aspx
.cs
.aspx
.psd
.mdf
.rtf
.htm
.ppt
.php
.asp
.pas
.h
.cpp
.xls
.doc
.rar
.zip

Тогда файл будет зашифрован, вконец зашифрованного файла червь добавляет строку “TAZEBAMA”.