semsemhalfa
05-01-2010, 12:59 AM
w32/mabezat, w32/mabezat
لعنة الله على هذا الفيروس اللعين
بينما قمت بنقل بعض البيانات من صديق لى بفلاش ميمورى
تعرضت لهذا الفيروس اللعين مما اثار مضجعى وكرهنى التعامل بالحاسوب
كل الملفات بقت بالشكل دا
http://i49.tinypic.com/2el5oqh.jpg
حاولت وحدثت برنامج الحمايه بتاعى اصله بقى ما فى طريقه كل ايقونات برامجى اتغيرت والفيروس بدأ فى الانتشار حاولت ووقفت خاصيه استعادة النظام
start+control panel+system+system restore+disable
اكتشفت انه برامج الحمايه لا تستطيع التصدى له حاولت بالكاسبر اولا ثم بالمكافى mcafee
والنورتن
ثم الافيرا
http://i46.tinypic.com/288qqyo.jpg
W32.Mabezat.B الخبيث الذي قضى على اغلب الاقراص الصلبه
والفلاش ميموري والهارديسك الخارجي
بصفه عامه المساحات التخزينيه
ومن مسميات الفايروس
ZPHARAOH.EXE
FLASHY.EXE
AUTORUN.EXE
AUTORUN.INF
والاسم الحقيقي له هو
WAZNER-A/W32
اشكال هذا التروجان الخبيث
بعد الإستخراج تقوم الدوده بنسخ نفسها الى المسارات التاليه
%drive%\Documents and Settings\
ويكون تحت اسم
tazebama.dl_
hook.dl_
tazebama.dll
ثم يقوم بصنع مجلد له في المسار
%appdata%\tazebama\
ومن ثم يقوم بحذف هذه القيم من الريجستري
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
ويقوم بإضافه قيم له في الريجستري تحت
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0
ويقوم الفايروس بإصابه جميع البرامج القابله للإستخراج ذات الصيغه exe
وينتشر بسرعه كبيره جدا
الإنتشار
يقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم
zPharaoh.exe
وفي نفس المجلد الي يكون اسمه zPharaoh
يتواجد بنفس المجلد ملف
autorun.inf
اصابه الأقراص القابله للإزاله
عندما يصيبها يكون مستخدم احد الأسماء التاليه
Adjust Time.exe
AmericanOnLine.exe
Antenna2Net.exe
BrowseAllUsers.exe
CD Burner.exe
Crack_GoogleEarthPro.exe
Disk Defragmenter.exe
FaxSend.exe
FloppyDiskPartion.exe
GoogleToolbarNotifier.exe
HP_LaserJetAllInOneConfig.exe
IDE Conector P2P.exe
InstallMSN11Ar.exe
InstallMSN11En.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Lock Folder.exe
LockWindowsPartition.exe
Make Windows Original.exe
MakeUrOwnFamilyTree.exe
Microsoft MSN.exe
Microsoft Windows Network.exe
msjavx86.exe
NokiaN73Tools.exe
Office2003 CD-Key.doc.exe
Office2007 Serial.txt.exe
PanasonicDVD_DigitalCam.exe
RadioTV.exe
Recycle Bin.exe
RecycleBinProtect.exe
ShowDesktop.exe
Sony Erikson DigitalCam.exe
Win98compatibleXP.exe
Windows Keys Secrets.exe
WindowsXp StartMenu Settings.exe
WinrRarSerialInstall.exe
http://i45.tinypic.com/24o2bye.jpg
معلومات اخرى
قد يستطيع اصابه هذه اللاحقه
.ASP
.ASPX
.ASPX.CS
.BAS
.C
.CPP
.DOC
.H
.HLP
.HTM
.HTML
.MDB
.MDF
.PAS
.PDF
.PHP
.PPT
.PSD
.RAR
.RTF
.TXT
.XLS
.ZIP
طبعا في حاله نادره او اذا كانت الإصابه شديده ^^^
والدوده قد تجدها في المسار وهو
%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\
^^
اذا كان كذالك ,, فسوف يكون الفايروس او الدوده تحت مسمى
zPharaoh.exe
وقد نجد
autorun.inf في نفس المجلد
وقد تمسح جميع مايكون بالمجلد اعلاه ^^
وقد تصنع لنفسها مستند نصي باالمسار
%appdata%\tazebama\zPharaoh.dat
وقد تجدها ايضا في المجلد
%drive%\Documents and Settings\ folder:
تحت اسم
MyDocuments.rar
backup.rar
documents_backup.rar
imp_data.rar
source.rar
windows_secrets.rar
passwords.rar
serials.rar
office_crack.rar
windows.rar
ZPharaoh.exe?
[AutoRun]
ShellExecute=zPharaoh.exe
shell\open\command=zPharaoh.exe
shell\explore\command=zPharaoh.exe
open=zPharaoh.exe
طريقه انتقاله عن طريق الملف التنفيذي بصيغة RAR
والذي يتخفى بداخل المجلدات المضغوطة بمسميات اخرى عندما يخمل
بمسميات اخرى وعند النقر تظهر شاشه COMMAND
وهو الدس ليزرع الفيروس من جديدج ولاتستطيع التخلص منه وهكذا ليوهمك بانه لايمكن انتزاعه الا بالفورمات
يقييم بقيم الرجستري ويعطي نفسه صلاحيات POLICY
وربما يضع كلمه مرور على الويندز مالم تكون انت قد قمت بوضع كلمه مرور على الادمنستريتر وهو الحساب الافتراضي للمعالج عند تشغيل الجهاز والرغبه بعمل RAPAIR
له
ايضا الاغلبيه يقول انه فيروس COPY.EXE
لحقيقه الامر خاطى فهو فايروس اخبث من كوبي وهو منقول لجميع الاجهزه مشفر بصيغة BAINARY
طرق الانتقال فلاش ميموري هارد ديسك خارجي او ملف منقول من جهاز مصاب الفلاش ميموري ملف الاصابه يكون اسمه الوهمي FLASY.EXE
والحقيقي الذي ينقل العدوى هو
MABEAZAT-BINARY
هو يهاجم صيغة EXE
وهو سيرفر مصغر يقوم بالاتصال بسيرفر اخر وفصل النت عند محاربته وانتزاعه من الجهاز ضروري جدا
ملفاته الوهميه التي تشغلك بانها هي ملفات الاصابه وهي وهميه لانه يتكاثر بالكوكيز يزرع نفسه بالمتصفح
tazebama.dl_
hook.dl_
والريجستري ويصنع لنفسه خلال 24 ساعه 4000 نسخه احتياطيه باك اب في حاله انتزاع ملف الباث يعود من جديد
ملفه المزروع اسمه
FILE PATH
http://malak3l.org/up/uploads/13dac38df3.jpg
http://malak3l.org/up/uploads/5f5a2a12d0.jpg
بعد جهد وتعب والبحث فى محركات الاقراص ومراجعه مقال الاخ DEV1L MAY CRY
لدرجة حفظه عن ظهر قلب
راجع قسم المواضيع المتميزه
فى اطار بحثى عن اداة تقوم بازالة هذا الفيروس اللعين وجد ضالتى فى الاداة المقدمة من AVG
اتبع الرابط
http://www.virustotal.com/analisis/d9f242ca7f0be36c9279a6b05b03c0af
او
هناrmmabez.exe (http://www.4shared.com/file/188387519/6eabab59/rmmabez.html)
http://i45.tinypic.com/dzeas9.jpg
بعد عمل اسكان لكل الجهاز بعدها عملت ريستارت والحمد لله تم التخلص من هذا الفيروس
ارجو ان تفيدكم تجربتى مع اللعين
Win32/mabezat b
win32/mabezat
وسرد تخلصى منه
لعنة الله على هذا الفيروس اللعين
بينما قمت بنقل بعض البيانات من صديق لى بفلاش ميمورى
تعرضت لهذا الفيروس اللعين مما اثار مضجعى وكرهنى التعامل بالحاسوب
كل الملفات بقت بالشكل دا
http://i49.tinypic.com/2el5oqh.jpg
حاولت وحدثت برنامج الحمايه بتاعى اصله بقى ما فى طريقه كل ايقونات برامجى اتغيرت والفيروس بدأ فى الانتشار حاولت ووقفت خاصيه استعادة النظام
start+control panel+system+system restore+disable
اكتشفت انه برامج الحمايه لا تستطيع التصدى له حاولت بالكاسبر اولا ثم بالمكافى mcafee
والنورتن
ثم الافيرا
http://i46.tinypic.com/288qqyo.jpg
W32.Mabezat.B الخبيث الذي قضى على اغلب الاقراص الصلبه
والفلاش ميموري والهارديسك الخارجي
بصفه عامه المساحات التخزينيه
ومن مسميات الفايروس
ZPHARAOH.EXE
FLASHY.EXE
AUTORUN.EXE
AUTORUN.INF
والاسم الحقيقي له هو
WAZNER-A/W32
اشكال هذا التروجان الخبيث
بعد الإستخراج تقوم الدوده بنسخ نفسها الى المسارات التاليه
%drive%\Documents and Settings\
ويكون تحت اسم
tazebama.dl_
hook.dl_
tazebama.dll
ثم يقوم بصنع مجلد له في المسار
%appdata%\tazebama\
ومن ثم يقوم بحذف هذه القيم من الريجستري
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
ويقوم بإضافه قيم له في الريجستري تحت
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0
ويقوم الفايروس بإصابه جميع البرامج القابله للإستخراج ذات الصيغه exe
وينتشر بسرعه كبيره جدا
الإنتشار
يقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم
zPharaoh.exe
وفي نفس المجلد الي يكون اسمه zPharaoh
يتواجد بنفس المجلد ملف
autorun.inf
اصابه الأقراص القابله للإزاله
عندما يصيبها يكون مستخدم احد الأسماء التاليه
Adjust Time.exe
AmericanOnLine.exe
Antenna2Net.exe
BrowseAllUsers.exe
CD Burner.exe
Crack_GoogleEarthPro.exe
Disk Defragmenter.exe
FaxSend.exe
FloppyDiskPartion.exe
GoogleToolbarNotifier.exe
HP_LaserJetAllInOneConfig.exe
IDE Conector P2P.exe
InstallMSN11Ar.exe
InstallMSN11En.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Lock Folder.exe
LockWindowsPartition.exe
Make Windows Original.exe
MakeUrOwnFamilyTree.exe
Microsoft MSN.exe
Microsoft Windows Network.exe
msjavx86.exe
NokiaN73Tools.exe
Office2003 CD-Key.doc.exe
Office2007 Serial.txt.exe
PanasonicDVD_DigitalCam.exe
RadioTV.exe
Recycle Bin.exe
RecycleBinProtect.exe
ShowDesktop.exe
Sony Erikson DigitalCam.exe
Win98compatibleXP.exe
Windows Keys Secrets.exe
WindowsXp StartMenu Settings.exe
WinrRarSerialInstall.exe
http://i45.tinypic.com/24o2bye.jpg
معلومات اخرى
قد يستطيع اصابه هذه اللاحقه
.ASP
.ASPX
.ASPX.CS
.BAS
.C
.CPP
.DOC
.H
.HLP
.HTM
.HTML
.MDB
.MDF
.PAS
.PHP
.PPT
.PSD
.RAR
.RTF
.TXT
.XLS
.ZIP
طبعا في حاله نادره او اذا كانت الإصابه شديده ^^^
والدوده قد تجدها في المسار وهو
%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\
^^
اذا كان كذالك ,, فسوف يكون الفايروس او الدوده تحت مسمى
zPharaoh.exe
وقد نجد
autorun.inf في نفس المجلد
وقد تمسح جميع مايكون بالمجلد اعلاه ^^
وقد تصنع لنفسها مستند نصي باالمسار
%appdata%\tazebama\zPharaoh.dat
وقد تجدها ايضا في المجلد
%drive%\Documents and Settings\ folder:
تحت اسم
MyDocuments.rar
backup.rar
documents_backup.rar
imp_data.rar
source.rar
windows_secrets.rar
passwords.rar
serials.rar
office_crack.rar
windows.rar
ZPharaoh.exe?
[AutoRun]
ShellExecute=zPharaoh.exe
shell\open\command=zPharaoh.exe
shell\explore\command=zPharaoh.exe
open=zPharaoh.exe
طريقه انتقاله عن طريق الملف التنفيذي بصيغة RAR
والذي يتخفى بداخل المجلدات المضغوطة بمسميات اخرى عندما يخمل
بمسميات اخرى وعند النقر تظهر شاشه COMMAND
وهو الدس ليزرع الفيروس من جديدج ولاتستطيع التخلص منه وهكذا ليوهمك بانه لايمكن انتزاعه الا بالفورمات
يقييم بقيم الرجستري ويعطي نفسه صلاحيات POLICY
وربما يضع كلمه مرور على الويندز مالم تكون انت قد قمت بوضع كلمه مرور على الادمنستريتر وهو الحساب الافتراضي للمعالج عند تشغيل الجهاز والرغبه بعمل RAPAIR
له
ايضا الاغلبيه يقول انه فيروس COPY.EXE
لحقيقه الامر خاطى فهو فايروس اخبث من كوبي وهو منقول لجميع الاجهزه مشفر بصيغة BAINARY
طرق الانتقال فلاش ميموري هارد ديسك خارجي او ملف منقول من جهاز مصاب الفلاش ميموري ملف الاصابه يكون اسمه الوهمي FLASY.EXE
والحقيقي الذي ينقل العدوى هو
MABEAZAT-BINARY
هو يهاجم صيغة EXE
وهو سيرفر مصغر يقوم بالاتصال بسيرفر اخر وفصل النت عند محاربته وانتزاعه من الجهاز ضروري جدا
ملفاته الوهميه التي تشغلك بانها هي ملفات الاصابه وهي وهميه لانه يتكاثر بالكوكيز يزرع نفسه بالمتصفح
tazebama.dl_
hook.dl_
والريجستري ويصنع لنفسه خلال 24 ساعه 4000 نسخه احتياطيه باك اب في حاله انتزاع ملف الباث يعود من جديد
ملفه المزروع اسمه
FILE PATH
http://malak3l.org/up/uploads/13dac38df3.jpg
http://malak3l.org/up/uploads/5f5a2a12d0.jpg
بعد جهد وتعب والبحث فى محركات الاقراص ومراجعه مقال الاخ DEV1L MAY CRY
لدرجة حفظه عن ظهر قلب
راجع قسم المواضيع المتميزه
فى اطار بحثى عن اداة تقوم بازالة هذا الفيروس اللعين وجد ضالتى فى الاداة المقدمة من AVG
اتبع الرابط
http://www.virustotal.com/analisis/d9f242ca7f0be36c9279a6b05b03c0af
او
هناrmmabez.exe (http://www.4shared.com/file/188387519/6eabab59/rmmabez.html)
http://i45.tinypic.com/dzeas9.jpg
بعد عمل اسكان لكل الجهاز بعدها عملت ريستارت والحمد لله تم التخلص من هذا الفيروس
ارجو ان تفيدكم تجربتى مع اللعين
Win32/mabezat b
win32/mabezat
وسرد تخلصى منه