Worm.Mabezat.Win32.3610

Worm.Mabezat.Win32.3610 – небезпечний хробак, що заражає файли, які виконуються, а,  також використовує знімні носії, мережу, CD  диски й електронну пошту для свого розповсюдження.

Методи  розповсюдження

Даний хробак використає кілька методів для свого розповсюдження

1. Хробак створює копії свого тіла на всіх доступних на запис локальних і знімних дисках. При розмноженні через знімні носії хробак копіює себе на носій і створює супутній файл autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.
2. Хробак отримує список комп'ютерів, що знаходяться у мережному оточенні зараженої машини й записує копію свого тіла на всі ресурси, відкриті для повного доступу. Ім'я для копії вибирається зі списку, який хробак містить у своєму тілі. Імена файлів підібрані таким чином, щоб спровокувати користувача на їхній запуск.
   Наприклад:
         Office2007 Serial.txt.exe, Microsoft MSN.exe і т.п.
   
   Якщо доступу до мережного ресурсу відсутній, хробак намагається скопіювати себе в папки: 
   
             \\ <ім'я комп'ютера> \ з $ \ Documents and Settings \
             \\ < ім'я комп'ютера >\ Start Menu \ Programs \ Startup \ 
   
   Використовуючи наступні імена для авторизації: Administrator, Anonymous, і перебираючи прості паролі 1, 111, 123, ABC і т.п.
   
   
3. Хробак може розповсюджуватися, використовуючи заражені CD диски, для цього він створює свою копію, а також файл для його автозапуску в наступному каталозі:
   
     %Applicationdata%\Microsoft\CD Burning\zpharaoh.exe
     %Applicationdata%\Microsoft\CD Burning\autorun.inf
   
   Крім того, хробак намагається заразити файли, що перебувають у цьому каталозі. У результаті, при  запису диска, вбудованою утилітою Microsoft, хробак  записується на CD диск.
   
   
4. Хробак сканує файли на зараженій машині в пошуку e-mail адрес, після чого розсилає по них електронні листи із прикріпленим файлом. Хробак містить кілька шаблонів листів, написаних таким чином, щоб користувач зацікавився й запустив прикріплений до листа файл.
   
   Наприклад:
    Canada immigrationthe debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventuklly lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050. Download the attached file to know about the required forms. The sender of this email got this article from our side and forwarded it to you.
   
   Приєднаний файл із хробаком: IMM_Forms_E01.rar
   
   
5. Даний хробак має функціональність вірусу й заражає файли, що виконуються. При зараженні файлів, що виконуються, хробак розширює останню секцію файлу й записує туди своє тіло. Точка входу не змінюється, код хробака зашифрований поліморфним алгоритмом. 

Функціональні можливості

Після запуску, хробак копіює своє тіло в папку “C:\Documents and Settings“  під іменами hook.dl_, tazebama.dl_, tazebama.dll, після чого копіює в  корінь кожного логічного й мережевого диска своє тіло під ім'ям zpharaoh.exe ррозміром ~155 Кбайт. Скопійованим файлам встановлюються атрибути "прихований", "тільки читання".  У корені кожного диска створюється файл autorun.inf, який запускає копію хробака, щораз, коли користувач відкриває заражений розділ за допомогою програми "Провідник".

Хробак створює папку %Applicationdata%\tazebama, у якій створює файл zpharaoh.dat (tazebama trojan log file).

На всіх знімних і локальних дисках, крім диска “c:\”, хробак шукає каталоги з файлами. У кожному  із цих каталогів хробак створює копію свого тіла з ім'ям каталогу й розширенням "*.exe".

Якщо хробак виявляє файли з розширенням "*.doc", тоді в тім каталозі створює свою копію з аналогічним ім'ям і розширенням "*.exe".

Хробак відключає відображення прихованих файлів і папок, і показ розширень для зареєстрованих типів файлів,  змінюючи значення реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
 Hidden= 0x2
 [HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
 Hidefileext = 0x1
 [HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
 Showsuperhidden=0x0

Хробак відключає блокування автоматичного запуску файлів "autorun.inf", видаливши параметр ключа реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Policies\Explorer]
 Nodrivetypeautorun

Для доступу до мережі Internet хробак впроваджує свій код в адресний простір браузера Internet Explorer.

Для перевірки з'єднання з Інтернет, хробак з'єднується  з одним з наступних ресурсів:

http://www.hotmail.com
 http://www.britishcouncil.com
 http://www.microsoft.com
 http://www.yahoo.com

Для визначення своєї присутності в системі  хробак створює унікальний ідентифікатор "mutex", який використається для запобігання багаторазового запуску хробака на одному комп'ютері.

Деструктивні можливості

Якщо виконуються  наступні умови, вірус шифрує файли:
якщо дата створення файлу більше або рівна 16 жовтня 2012 року й розширення файлу:

.hlp
 .pdf
 .html
 .txt
 .aspx
 .cs
 .aspx
 .psd
 .mdf
 .rtf
 .htm
.ppt
.php
.asp
 .pas
 .h
 .cpp
 .xls
 .doc
 .rar
 .zip

Тоді файл буде зашифрований, вкінець зашифрованого файлу хробак додає рядок “TAZEBAMA”.