Forum.Informatique.Nouvelle.Téchnologie
Bonjour je vous souhaite la bienvenue sur fint-31, l'inscription est gratuite !!!
Nous vous invitons pour toute inscription d'attendre la validation de l'administrateur, une présentation est obligatoire sur le forum. Pour vous apportez un maximum un tutoriel complet pour apprendre à naviguer sur notre forum a été fait pour vous.
A tout les invités nous somme un forum ouvert et sur certaine rubrique vos avis nous intéresse n'hésitez pas à poster des réponses et merci de l’intérêt que vous nous témoignez, ce forum vous est dédié merci et bonne lecture....

Forum.Informatique.Nouvelle.Téchnologie

Forum de discussion, d'entraide, d'information sur les nouvelles technologies, actualité, jeux orienté Windows
 
PortailAccueilFAQRechercherConnexionS'enregistrerCalendrier
Bonjour. Retrouvez tous nos partenaires sur le Portail du forum, lien direct en cliquant sur le logos, et retrouver l'actualité Zebulon sur notre portail. l'Administration.

Venez voir notre nouveau forum dédier aux Antivirus et à leurs efficacités, et surtout leurs protections...
Rechercher
 
 

Résultats par :
 
Rechercher Recherche avancée
Derniers sujets
»  Micro : une imprimante 3D à moins de 300 dollars
Jeu 26 Oct - 8:09 par kittselena

» [Test Musical] Norton Security 2017
Dim 23 Avr - 3:42 par manzai

» TEST ANTIVIRUS KASPERSKY LAB
Sam 22 Avr - 22:48 par manzai

» [Test Musical] Xvirus Anti - Malware 2017
Sam 22 Avr - 22:45 par manzai

» APPLE INTÈGRE DES EMOJIS ETHNIQUES DANS SA PROCHAINE MISE À JOUR D'IOS
Jeu 27 Oct - 1:19 par vetetistosore

» Connexion 4G ?
Jeu 13 Oct - 8:11 par Patchi

» image drole ^^
Jeu 12 Nov - 1:57 par vetetistosore

» Réalité virtuelle au service de l'apprentissage
Sam 24 Oct - 19:18 par vetetistosore

» ASRock X99E-ITX : vers des PC à la fois compacts et surpuissants
Sam 24 Oct - 13:54 par Dominique44

Heure
Reputation for fint-31.net
Rating for fint-31.net
Forum
Compteur de visite, Installé le 06/06/2011.
« like », « tweet » et Google « +1 »
Publicité PC impact
Navigation
webstatsdomain
Worth for www.fint-31.net
Langue
Freebox

Partagez | 
 

 Worm:W32/Mabezat.B

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
le n'apache

avatar

Messages : 4
Date d'inscription : 22/01/2012
Localisation : En picardie

MessageSujet: Worm:W32/Mabezat.B   Mar 24 Jan - 17:31

Worm:W32/Mabezat.B

  • C'est un programme malveillant autonome qui utilise l'ordinateur ou des ressources de réseau pour faire les copies complètes de lui.

    Peut inclure le code ou d'autre logiciel malveillant pour endommager tant le système que le réseau.
  • Worm:W32/Mabezat. B s'étend par des fichiers joints à un message électronique infectés, des lecteurs amovibles (clé USB et Disque dur externe)

  • Le ver inclut la fonctionnalité de se comporter comme un fichier polymorphe ce qui le rend difficile à éradiquer, il infecte principalement
    fichiers exécutables.


  • Nom : Worm:W32/Mabezat.B
  • Noms de détection :
    • W32.Worm.Mabezat.Gen
    • Worm.Win32.Mabezat.b
    • Mabezat.B

  • Alias :
    • W32/Mabezat
    • W32.Mabezat.B
    • W32/Mabezat-B
    • PE_MABEZAT.B-O
    • Virus:Win32/Mabezat.B

  • Catégorie : Malware
  • Type : Ver
  • Type : Virus
  • Plateforme : W32


Installation

Le ver copie les fichiers suivants à la racine du disque dur :
  • %root%\autorun.inf
  • %root%\zPharaoh.exe

Le fichier autorun.inf contient le code suivant

  • [AutoRun]
  • ShellExecute=zPharaoh.exe
  • shell\open\command=zPharaoh.exe
  • shell\explore\command=zPharaoh.exe
  • open=zPharaoh.exe

Le processus est utilisé pour automatiquement exécuter zPharaoh.exe, qui contient le code exécutable. Il est aussi capable de se propager via un lecteur externe

Le virus crée aussi le dossier suivant :
  • C:\Documents and Settings\%Nom de l’utilisateur courant%\Application Data\tazebama

Le ver modifie le registre et désactive certaines fonctions dans ce dernier
Il supprime l'entrée suivante:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoDriveTypeAutoRun = 00000091

Et crée cette entrée :
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    ShowSuperHidden = 00000000

Dans un rapport de UsbFix
  • ################## | Elements infectieux |

  • G:\zPharaoh.exe
  • G:\1.taz
  • G:\zPharaoh.exe

  • ################## | Mabezat |

  • C:\DOCUME~1\xp\APPLIC~1\tazebama\zPharaoh.dat
  • C:\DOCUME~1\xp\APPLIC~1\tazebama
  • C:\Program Files\Acronis\TrueImageHome\TrueImage.exe
  • C:\Program Files\Fichiers communs\Acronis\MediaBuilder\MediaBuilder.exe
  • C:\Program Files\Fichiers communs\Acronis\TrueImageHome\TrueImageHomeService.exe
  • C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
  • C:\Program Files\Nero\Nero 9\Nero Burning ROM\Nero.exe
  • C:\Program Files\Nero\Nero 9\Nero Express\NeroExpress.exe
  • C:\Program Files\TuneUp Utilities 2008\Integrator.exe
  • C:\Program Files\Windows Live\Messenger\msnmsgr.exe
  • C:\System Volume Information\_restore{60B9ED16-D72D-4A08-9BA5-1C6E2A046390}\RP1\A0000008.exe
  • D:\Mes documents\emoticone\emoticones_megapack.exe
  • G:\tiziano ferro.doc .exe
  • G:\zPharaoh.exe

Dr web
  • avira_antivir_personal_free.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • OTM.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • RSIT.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • xp.exe C:\Documents and Settings\xp\Mes documents\Téléchargements Win32.HLLW.Tazebama Désinfecté.
  • zPharaoh.exe C:\ Win32.HLLW.Tazebama Supprimé.
  • tazebama.dl_ c:\documents and settings Win32.HLLW.Tazebama Supprimé.
  • tazebama.dll c:\documents and settings Win32.HLLW.Tazebama Supprimé.
    • C:\Program Files\Fichiers communs\Microsoft Shared\DW\DWTRIG20.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\msinfo32.exe; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\MSInfo\OINFOP12.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ACECNFLT.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSE7.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\MSOXMLED.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE; OK
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\OFFDIAG.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\ODEPLOY.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\SETUP.EXE; Cleaned
    • C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\OFFLB.EXE; Cleaned

Combofix
  • (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

  • c:\documents and settings.\hook.dl_
  • c:\documents and settings.\tazebama.dl_
  • c:\documents and settings.\tazebama.dll
  • c:\documents and settings\xp\Application Data\tazebama
  • c:\documents and settings\xp\Application Data\tazebama\tazebama.log
  • c:\documents and settings\xp\Application Data\tazebama\zPharaoh.dat
  • c:\windows\system32\drivers\fblq.sys
  • C:\zPharaoh.exe
  • D:\zPharaoh.exe
  • c:\documents and settings.\hook.dl_ . . . . impossible à supprimer
  • c:\documents and settings.\tazebama.dl_ . . . . impossible à supprimer
  • c:\documents and settings.\tazebama.dll . . . . impossible à supprimer

Rmmabez
  • ============ Remover for Win32/Mabezat ===============
  • Date: 26.03.2010 17:00
  • C:\autorun.inf\lpt3.This folder was created by UsbFix; Can't open
  • C:\cmdcons\autochk.exe; OK
  • C:\cmdcons\autofmt.exe; OK
  • C:\cmdcons\SYSTEM32\SMSS.EXE; OK
  • C:\Documents and Settings\All Users\Application Data\Nero\Nero BackItUp 4\Cache\BIU5.txt; Can't open
  • C:\Documents and Settings\hook.dl_; Deleted
  • C:\Documents and Settings\LocalService\Application Data\Acronis\TrueImageHome\Logs\EAAF8209-B925-4D26-9878-B30FC4EA8FDB.log; Can't open
  • C:\Documents and Settings\LocalService\Cookies\index.dat; Can't open
  • C:\Documents and Settings\tazebama.dl_; Deleted
  • C:\Documents and Settings\xp\Bureau\ComboFix.exe; Cleaned
  • C:\Documents and Settings\xp\Mes documents\Téléchargements\avira_antivir_personal_free.exe; OK
  • C:\Documents and Settings\xp\Mes documents\Téléchargements\OTM.exe; OK


Les outils utilisés pour lutter contre cette infection


/!\ IMPORTANT /!\A n'utiliser qu'avec l'aval d'un Helper Sécurité

_________________
Granmére à poréte ale passe
Revenir en haut Aller en bas
 

Worm:W32/Mabezat.B

Voir le sujet précédent Voir le sujet suivant Revenir en haut 

 Sujets similaires

-
» Infection: Worm.VBS.Sasan.a !! J'ai besoin d'aide svp !!!
» Test anti-trojans en ligne
» Alerte contamination Storm Worm
» Tutoriel Remediate VBS Worm
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Forum.Informatique.Nouvelle.Téchnologie  :: Tutoriel sécurité créer par des Helpers ayant une formation virale-
Créer un forum | © phpBB | Forum gratuit d'entraide | Contact | Signaler un abus | Forum gratuit
les amis uniques