キヤノンITソリューションズ：NOD32 アンチウイルス：Win32/Mabezat.A


最新ウイルス定義ファイルバージョン : 12381 (2015/10/09 17:02)

最新ウイルス情報 : Win32/Mabezat.A	公開日：2007年12月12日
このウイルスに関する危険度 :■■■□□

定義名称	Win32/Mabezat.A
別名	Worm.Win32.Mabezat.b (Kaspersky), W32/Mabezat (McAfee), Win32/Mabezat.A (Grisoft)
種別	ウイルス
シグネチャ検査による結果だった場合	Win32/Mabezat.A
アドバンスドヒューリスティック検査による結果だった場合	このオリジナルのウイルスを利用した新種、亜種が検出された場合は、「NewHeur_PE」という名称で警告が出ます。
影響受けるプラットフォーム	Microsoft Windows
概要	Win32/Mabezat.A ウイルスは、ポリモーフィック型でファイルに感染します。

検出した場合の対処方法

常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows のシステムの復元により修復しなければならない可能性があります。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Mabezat.A ウイルスが実行されると、ウイルスは自分自身を次の場所へコピーします。

%drive%\Documents and Settings\

コピーされたファイル名は、次の名前で保存されています。

tazebama.dl_
hook.dl_

次のファイルは、同じフォルダへドロップされます。

tazebama.dll (32768 B)

ウイルスは、次のフォルダを作成します。

%appdata%\tazebama\

次のレジストリは削除されます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer]
"NoDriveTypeAutoRun"

次のレジストリを登録します。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"HideFileExt" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced]
"ShowSuperHidden" = 0

■実行ファイルの感染について

ウイルスは、実行ファイルに感染します。ウイルスは、次の拡張子の実行可能なファイルを検索します。

.exe

元々の実行可能なファイルの最後にウイルスのコードを加えて感染していきます。
ホストファイルは、元々のコードが実行される前に優先してウイルスが実行できるよう修正されます。

■拡散について

ウイルスは、次のファイル名を使ってすべてのドライブのルートフォルダに自分自身をコピーします。

zPharaoh.exe

また、同じフォルダに次のファイルをドロップします。

autorun.inf

ウイルスは、リムーバブルドライブの既存フォルダに自分自身をコピーします。
そして、その場所に次のファイル名で保存されます。

Adjust Time.exe
AmericanOnLine.exe
Antenna2Net.exe
BrowseAllUsers.exe
CD Burner.exe
Crack_GoogleEarthPro.exe
Disk Defragmenter.exe
FaxSend.exe
FloppyDiskPartion.exe
GoogleToolbarNotifier.exe
HP_LaserJetAllInOneConfig.exe
IDE Conector P2P.exe
InstallMSN11Ar.exe
InstallMSN11En.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Lock Folder.exe
LockWindowsPartition.exe
Make Windows Original.exe
MakeUrOwnFamilyTree.exe
Microsoft MSN.exe
Microsoft Windows Network.exe
msjavx86.exe
NokiaN73Tools.exe
Office2003 CD-Key.doc.exe
Office2007 Serial.txt.exe
PanasonicDVD_DigitalCam.exe
RadioTV.exe
Recycle Bin.exe
RecycleBinProtect.exe
ShowDesktop.exe
Sony Erikson DigitalCam.exe
Win98compatibleXP.exe
Windows Keys Secrets.exe
WindowsXp StartMenu Settings.exe
WinrRarSerialInstall.exe

既存のフォルダ名もしくはファイル名を利用して、次の拡張子を加えたコピーが保存されます。

".exe".

■その他の情報

現在のシステム日付がマッチした場合、次の拡張子を持つファイルは暗号化されます。

.ASP
.ASPX
.ASPX.CS
.BAS
.C
.CPP
.DOC
.H
.HLP
.HTM
.HTML
.MDB
.MDF
.PAS
.PDF
.PHP
.PPT
.PSD
.RAR
.RTF
.TXT
.XLS
.ZIP

ウイルスは、次のフォルダに自分自身をコピーする場合があります。

%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\

成功すると、次のファイル名が使われます。

zPharaoh.exe

次のファイルが同じフォルダにドロップすることがあります。

autorun.inf

ウイルスは、次の場視に保存されているファイルを削除する場合があります。

%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\

ウイルスは、次のテキストファイルを作成する場合があります。

%appdata%\tazebama\zPharaoh.dat

ウイルスは、%drive%\Documents and Settings\ フォルダに次のファイルを作成する場合があります。

yDocuments.rar
backup.rar
documents_backup.rar
imp_data.rar
source.rar
windows_secrets.rar
passwords.rar
serials.rar
office_crack.rar
windows.rar

これらのアーカイブには、実行可能なファイルを含んでおり感染の一部です。