فايروس : Mabezat .. مشاكل و حلول

[القــــــرصــــــان]

نبذة عنه :

تاريخ الاكتشاف : 1 ديسمبر 2007
النوع : دودة
مدى الاصابة : 154,751 bytes (exe), 32,768 bytes (DLL(
أنظمة التشغيل اللي اصيبت : Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000



* * *


أنواعه .. و المسميات اللي يختبأ وراها :

اقتباس Win32/Mabezat.B (eTrust-Vet), Worm.Win32.Mabezat.b (F-Secure), Worm.Win32.Mabezat.b (Ikarus), Worm.Win32.Mabezat.b (Kaspersky), W32/Mabezat.a (McAfee), Win32/Mabezat.A (NOD32v2), Win32.Malware.gen!92 (Webwasher-Gateway(

* * *



ما هو هذا الفايروس ؟

تم تعريفه كملف طفيلي خبيث ذو اشكال عدة مختص بالملفات ذات الامتداد : .exe
يستخدم الاقراص الصلبة المتنقلة "مثل الفلاش ميموري" و ملفات الميديا
و المجلدات المتاحة على الشبكات الداخلية للإنتشار

.
.

و عندما يتم النقر على أحد ملفاته ، يبدأ بالقيام بالآتي :




(1)

يقوم بنسخ نفسه و وضع هذه النسخ في الأماكن التالية :

اقتباس %SystemDrive%\Documents and Settings\tazebama.dl_ %SystemDrive%\Documents and Settings\hook.dl_ %UserProfile%\Start Menu\Programs\Startup\zPharoh.exe %SystemDrive%\Documents and Settings\tazebama.dll

(2)

يقوم بإنشاء الملفات التالية :

اقتباس %SystemDrive%\Documhttp://bsmlh.net/up/view.php?pic=205a9cfd3fents and Settings\[USER NAME]\Application Data\tazebama %SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log %SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat

(3)

يقوم بمسح مفتاح التسجيل و الخاص بإقلاع الأقراص التلقائي :

اقتباس HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoDriveTypeAutoRun

مما يسهل عليه الانتشار في انحاء الجهاز دون الحاجة لتدخل المستخدم .




(4)

يقوم بإخفاء ملفات النظام .. حتى يبقى له نسخة فيها .. وذلك بمسح مفتاح التسجيل :

HKEY_CURRENT_USER\Software\Microsoft\Windows\

اقتباس CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"

(5)

و أخيرا .. يقوم بإنشاء ملفات سفيرة له على الأقراص الأخرى ..

اقتباس [DRIVE]:\zPharaoh.exe [DRIVE]:\autorun.inf

(6)

يبدأ الفايروس بالبحث عن ملفات التطبيق .. و اللي امتدادها .exe

و يعمل التالي :

1- يقوم بتشفير الملف الأصلي
2- يقوم بإنشاء ملف خبيث يحمل اسم الملف اللي قام بتشفيره





(7)

يبدأ في نشر اسمه عن طريق الشبكات مستخدم اليوزرات التالية :

anonymous
Administrator



(8)

يقوم بنسخ نفسه في ملفات المشاركة بالأسماء التالية :

اقتباس My documents .exe Readme.doc .exe My Documents [SPACES].exe

(9)

يبدأ بإرسال ايميلات للشعب كالتالي :

اقتباس Subject: Windows secrets Attachment: FolderPW_CH(1).rar Body: The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it .

ايميل دعائي لبرنامج يقوم بعمل باسوورد على المجلدات

اقتباس Subject: Canada immigration Attachment: IMM_Forms_E01.rar Body: The debate is no longer about whether Canada should remain open to immigration. That debate becam [REMOVED] the required forms. The sender of this email got this article from our side and forwarded it to you

.

حول شؤون الهجرة بكندا

اقتباس Subject: Viruses history Attachments: virushistory.rar Body: Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There a [REMOVED] load the attached and decompress It by WinRAR. The sender has red the story and forwarded it to you.

كلمتين حول خطر الفايروسات هذه الايام .. و يطلب منك تحميل الملف و فك الضغط عنه

اقتباس Subject: Web designer vacancy Attachment: JobDetails.rar Body: Fortunately, we have recently received your CV/Resume from moister web site and we found it matching [REMOVED] Thanks & Regards, Ajy Bokra Computer department. [email]AjyBokra@webconsulting.com[/email ]

لحسن حظك .. تم استلام نسخة من اوراقك الشخصية .. و اعجبنا بك

اقتباس Subject: MBA new vision Attachment: Marketing.rar Body: MBA (Master of business administration ) one of the most required degree around the world. We offer [REMOVED] Ajy klaf AjyKolav@tazeunv.com The sender has added your name to be informed with our services .

دعاية لشهادة الـ MBA

اقتباس Subject: problem Attachment: outlooklog.rar Body: When I had opened your last email I received some errors have been saved in the attached file. Please inform me with those errors as soon as possible.

"عندما استلمت رسالتك المرة الأخيرة كان فيها بعض الأخطاء .. يا ليت لو تبلغني عن هذه الاخطاء سريعا "

اقتباس Subject: hi Attachment: notes.rar Body: Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words. I wish you next time send me a readable file!. I forwarded the attached file again to evaluate your self.

لسوء الحظ .. وصلني منك ايميل .. و كان الملف المرفق معاه خربان .. انا ارسلت لك الملف عشان تتأكد من صحة كلامي "






(10)

و هذه بعض ملفاته اللي تم رصدها .. يقوم بنشرها بجهازك :

اقتباس windows.rar office_crack.rar serials.rar passwords.rar windows_secrets.rar source.rar imp_data.rar documents_backup.rar backup.rar MyDocuments.rar HpphmfUppmcbsOpujgjfs/fyf GoogleToolbarNotifier.exe PanasonicDVD_DigitalCam.exe Antenna2Net.exe RadioTV.exe Microsoft MSN.exe Sony Erikson DigitalCam.exe IDE Conector P2P.exe Windows Keys Secrets.exe FaxSend.exe RecycleBinProtect.exe Disk Defragmenter.exe CD Burner.exe ShowDesktop.exe BrowseAllUsers.exe LockWindowsPartition.exe Win99compatibleXP.exe MakeUrOwnFamilyTree.exe WindowsXp StartMenu Settings.exe Recycle Bin.exe Adjust Time.exe Microsoft Windows Network.exe HP_LaserJetAllInOneConfig.exe FloppyDiskPartion.exe msjavx86.exe AmericanOnLine.exe Crack_GoogleEarthPro.exe Lock Folder.exe InstallMSN11En.exe InstallMSN11Ar.exe JetAudio dump.exe KasperSky6.0 Key.doc.exe Office2007 Serial.txt.exe Office2007 CD-Key.doc.exe Make Windows Original.exe NokiaN73Tools.exe WinrRarSerialInstall.exe

(11)

يقوم أيضا بإنشاء الملفات التالية بحيث عند الكتابة على قرص ليزر (سي دي ) يقوم بنسخ نفسه داخلها .. و هي :


zPharaoh.exe
autorun.inf

و يضعها في المجلد :

اقتباس %UserProfile%\Local Settings\Application Data\Microsoft\CD Burning

و عند فتح ملف autorun.inf .. ستجده ملف نصي .. مكتوب داخله :

اقتباس ShellExecute=zPharaoh.exeshell\open\command=zPhara oh.exeshell\explore\command=zPharaoh.exeopen=zPhar aoh.exe

(12)


بعض الابحاث اشارت بعد فك شفرة البرمجه .. إلى أنه يقوم بالآتي :

عندما يتصادف أن تكون السنة الميلادية في الجهاز أكبر من أو يساوي 2012
و الشهر يكون أكبر من أو يساوي 10
و اليوم أكبر من يساوي 16

يقوم بتشفير كل الملفات التي تحمل الامتدادت التالية :

اقتباس hlp .pdf .html .txt .aspx.cs .aspx .psd .mdf .rtf .htm .ppt .php .asp .pas .h .cpp .xls .doc .rar .zip .mdb

(13)

بعد أن يستفحل في جهازك تبدأ البرامج بفقدان قدرتها على العمل ..
و تظهر أمامك نافذة الويندوز .. اللي تشير الى حدوث خطأ عند تشغيل البرنامج و يجب اغلاقه .

و شوي شوي .. تصير معظم البرامج لا تعمل !!




* * *



طريقة التخلص منه :


طبعا أنا اصبت به الويك – إند اللي راح ... و بحثت عن طريقة التخلص منه في مواقع برامج مكافحة الفايروسات

بس أغلب الحلول كانت تستهدف ناس متخصصين في الحاسب
و فوق كذا .. يقولون إنه احتمال يروح و إحتمال لأ !!


بس من خلال تجربتي .. أنا استطعت التخلص منه ... و كان ذلك صباح الجمعة


إليكم الطريقة :

قمت بتحميل البرنامجين التاليين :

الأول :

برنامج زيزوووم لإستعادة ملفات النظام و مفاتيح التسجيل .. و قطع الطريق على الفايروس
في التحكم بالملفات وغيره

http://www.zyzoom.net/soft/security/..._Killer_V2.exe


الحجم : 540 كيلو بايت



الثاني :

اداة مسح الفايروسات الخاصة من Kaspersky

Kaspersky Virus Removal Tool 7.0.0.180

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/

ستجد قائمة بنسخ عديدة من هذه الأداة .. قم باختيار الأقرب تحديثا !



* * *




طريقة الإزالة :


أولا :


1- يجب فصل سلك الانترنت .
2- اذا كان عندك برنامج فايروسات .. لا تطفيه
3- أحيانا .. قد تبقى بعض ملفات الفايروس الغير نشطة .. احذر من الضغط عليها و تنشيطها !!



ثانيا : اتبع التالي :

1- احذر من إعادة التشغيل .. فهي تعطي الفرصة لهذا الفايروس بإيقاف كمية برامج أكبر
و قد يكون الدور على برنامج الفايروسات .. و تتخيط وقتها


2- قم بتشغيل أداة زيزوم .. و اتبع الخطوات .. و تراه عربي










3- قم بتركيب اداة kaspersky .. و قم بضبط الإعدادات التالية له :










4- قم بعمل Scan .. و خليه ياخذ راحته .

5- اذا لقيت ملف مشبوه .. على طول احذفه بـ shift + delete

6- بإمكانك تختار أحد الأسماء اللي فوق في فقرة (10) و تعمل بحث عنها .. عشان تتطمن بس




* * *



سمات الملفات المخادعة :

1- أن تكون بأحد المسميات اللتي ذكرت أعلاه .
2- أن تحمل نفس اسم المجلد اللذي توجد به .
3- دائما يكون امتدادها .exe
4- تكون على شكل ملف مضغوط بحجم ثابت
5- اسمائها غريبة .. و كأنها دعايات
6- ايقوناتها غريبة و أحيانا مشوهه
7- اذا غلطت و ضغطت عليها .. يقوم يفتح لك نافذة جديدة فيها نفس الملفات



* * *



للمعلومية :

1- مواصفات الفايروس و طريقة عمله هي من مواقع موثوقة :

http://www.symantec.com/en/hk/securi...635-99&tabid=2

http://pccare-antivirus.blogspot.com...yclopedia.html

2- طريقة التخلص من الفايروس ليست طريقة وحيدة و لا معتمدة .. و لكنها كانت تجربتي الخاصة .. و اللتي تحتمل الصحة و الخطأ .

3- روابط تحميل البرامج هي روابط لمواقع هذه البرامج الرئيسية .

4- برنامج zyzooom هو برنامج عربي للأخ تركي العتيبي .. نسخة مجانية .

5- برنامج kaspersky هو نسخة مجانية .. لاتحتاج شراء أو مفتاح تفعيل .

[جـــمــس]

الحمد لله على سلامتك

والله في بالي شي كنت بكتبه ونسيته لي رجعه اذا تذكرت

[↑للألم فيني نماذج↓]

معلومات قيمه الف شكر ....

[Closer]

هلا والله بالطش والرش ..
يعطيك العافية على هالوجبة الدسمة ..
المشكلة اغلب الناس ماتهتم انها تزود معلوماتها عن الفايروسات وكيفية التخلص منها ..
وبس يهنق الجهاز ويصيح يبلشوك بالورشة ..

تعال كل يوم يا ابو قرص
,..,

[دريــدز]

الصور ماطلعت

الظاهر عندي نفس المشكلة ..

[دريــدز]

لا الظاهر السالفة جد

حملت أداة زيزوم وشغلتها وطلعت لي هالأشياء



في المستندات والسي والدي وكل مكان

وبرنامج الحماية اللي في جهازي Kaspersky 6.0 وقريت في موقع برامج انه اذا صار برنامج الحمايه كاسبر مايحتاج احمل الأداة يكفي اني أسوي سكان بالبرنامج نفسه ويوم بدى السكان قام جهازي سوى ريستارت :yarabeeeeeh: لان تحديثات الويندز اكتملت :yarabeeeeeh:


الزبده وش أسوي الحين؟

[القــــــرصــــــان]

عزيزي ابو بلة



أداة زيزوووم تقوم بإظهار الملفات المخفية .. عشان تبحث فيها .. و هذا شيء عادي

يعني يمكن جهازك سليم


انت اعمل لي تقرير بالهايجاك عن جهازك والزقه هنا .. أو اسهل شيء تسويه هو إنك تحمل اداة كاسبر و تعمل سكان


الفرق بين هالاداة و بين كاسبر مضاد الفايروسات . إن ذي الأداة تكون خاصة للفايروسات اللي التعامل معها صعب .. و بين يوم و يوم يصر فيه تحديث جديد بخصوصها ..




انت حملها .. و رح للـ safe mode و ركبها و ابحث من وقتها





و علمني وش يصير معك

[دريــدز]

القرصان

بس لو لاحظت واحد من المجلدات اللي فوق اسمه Autorun. وامتداده inf وأنت قلت انه

اقتباس يقوم أيضا بإنشاء الملفات التالية بحيث عند الكتابة على قرص ليزر (سي دي ) يقوم بنسخ نفسه داخلها .. autorun.inf

يعني الفايرس عندي :

<=تدعي يارب اني فاهمه غلط :yarabeeeeeh:

اقتباس انت اعمل لي تقرير بالهايجاك عن جهازك والزقه هنا ..

وشو ذا :o

المشكلة اني الفترة اللي راحت أستعمل الفلاش كثير وانقلها بين كم جهاز كلها فايرسات

عالعموم ابحمل الأداة وأقولك وش يصير

يارب مايصير عندي

يارب يارب :cry:

[المسكينة]

السلام عليكم


اليوم تورطت واستخدمت فلاش ميموري لبنت خالتي وصار فيها هالفايروس ودمر جهازي مرتين ورى بعض ريستارد
يوم صلحت سكان وكان يطلب مني الحذف وامشي واحذف وبالاخير صارت ملفات نظام اللحين التاسك مانجر مايشتغل! مااقدر اقفل اي شي منها الهاردسكات مااقدر افتحها ونزلت الملفين الي قلت عليهم
الاول يشتغل كأنه ملف دوس ويجلس يمشي ويقول ان كل ملف ماقدر يلقاااه وش السواة اسوي تحديث للويندوز؟؟

والاداة الثانية إذا ثبتها يقول انه موجود الكاسبري عندها ويثبت عليها وسويت سكان للحين مالقى شيء!!

مع انه قبل ساعه كان مبشلني وكنت اقول له ديليت

وش الحل ابي احذف هالفايروس بدون مااسوي فرمته ابي ملفاتي

والله طاقتني العبرة وعندي واجب ومشروع لازم اشتغل عليهم والهاردسكات ماتشتغل


تكفى افزع لي الله يجزااااك بالجنة

[المسكينة]

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of New.exe
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of bs.pif
Could Not Find C:\WINDOWS\system\bs.pif
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of tazebama.dl_
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of zPharaoh.exe
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of Scvhost.exe
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of Scvhost.exe
Could Not Find C:\WINDOWS\Tasks\Scvhost.exe
Could Not Find C:\Documents and Settings\ahmed\My Documents\readme.doc .exe
Could Not Find C:\Documents and Settings\ahmed\My Documents\readme.doc.exe
هذا الي يطلع لي بشاشة الدوس لما اشتغل البرنامج الاول

وطول بعدها قال كلام كثير ثم طلعت شاشة مع تحيات .. موافق!
الاداة الثانية ماعرفت اشغلها بس الكاسبري للحين سكان

أبشرك قدرت افتح الهاردسكات اللحين الحمدلله..
بس ابي احذفه تماما عشان اقدر اشتغل عالبرامج اخاف من اشغل اي برنامج يرجع الفايروس

والله يهديها الي جابت لي الفايروس

[المسكينة]

كل ملفات الورود والمجلدات مصابة عندي وش الحل احذفها وانا محتاجه لها

[المسكينة]

قسم بالله ضاايق صدري مررة جهازي خرب


أبي حل حسبي الله ونعم الوكيل

[المسكينة]

لي سنة ماسويت باك اب للجهاز

قسم بالله فيني الصيحة واجباتي ابي اكملها ماأقدر افتح البرامج حسبي الله ونعم الوكيل

[muabark]

يعطيك العافية على المعلومات
وانا موجود على جهازي حاولت امسحه من الجهاز وماقدرت وبرنامج الحماية رفض تنصيب زيزووم مالعمل