«´¨`•..¤*-- ( أول تقرير شامل عن الفايروس الخطير W32.Mabezat.B شامل لكل تفاصيل الفايروس وأضرارة وأسماءه ومساراته وحلوله حصريا لـMSOMS )--*¤.. •´¨`»

[WaHdAiN]

بسم الله الرحمن الرحيم

كيف حال أعضاء منتديات مسومس الكرام

من زمان ماكتبت موضوع ^_^

سنتحدث اليوم عن أخطر فايروس عرفته حتى الآن

W32.Mabezat.B ألا وهو من نوع :

أسماء ملفات الفايروس الرئيسية :

hook.dl_

tazebama.dl_

tazebama.dll

وتتواجد هذه الملفات الرئيسية على المسار التالي :

%SystemDrive%\Documents and Settings

يضع هذا الفايروس ملفين بإسم:

zPharaoh.exe

autorun.inf

داخل جميع الاقراص بحيث عند الدخول لأي قرص بالطرق الإفتراضية يتفعل الفايروس تلقائيا

ويضع هذه الملفات أيضا داخل المسار التالي :

%UserProfile%\Local Settings\Application Data\Microsoft\CD Burning

بحيث عند نسخ أي سي دي يتم نسخ هذا الفايروس بداخله

ويضع ملف بإسم :

zPharaoh.exe

داخل المسار التالي:

%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe

لكي يتسنى له العمل مع بدء التشغيل للنظام

وأيضا يبحث عن ملفات الوورد وينشئ ملف فايروس بنفس الإسم وصيغة الوورد وأيقونة الوورد لكن صيغة الملف تكون exe

ويقوم بحذف حوالي خمسين من أشهر البرامج الضرورية لأي جهاز مثل الفوتوشوب وبرامج الميديا وغيرها

ويندمج بتطبيقات الـexe التي في الجهاز بحيث عند تشغيله يعمل الفايروس معها وهذا من رأيي أكبر مشكلة يسببها هذا الفايروس ولا يمكن حل هذه المشكلة إلا بفحص الملف بمكافح فيروسات شهير مثل الكاسبرسكاي

طبعا إذا كنت مستخدم متقدم وخبير يمكنك إزالة هذه المشكلة يدويا بتحرير Hex البرنامج بأحد برامج تحرير التطبيقات الست عشرية وإزالة هكس الفايروس من على التطبيقات المضروبة بهذا الفايروس مثل برنامج Hex Editor

ويقوم الفيروس بنشر هذه الملفات بعشوائية داخل جميع الأقراص :

· windows.rar
· office_crack.rar
· serials.rar
· passwords.rar
· windows_secrets.rar
· source.rar
· imp_data.rar
· documents_backup.rar
· backup.rar
· MyDocuments.rar
· HpphmfUppmcbsOpujgjfs/fyf
· GoogleToolbarNotifier.exe
· PanasonicDVD_DigitalCam.exe
· Antenna2Net.exe
· RadioTV.exe
· Microsoft MSN.exe
· Sony Erikson DigitalCam.exe
· IDE Conector P2P.exe
· Windows Keys Secrets.exe
· FaxSend.exe
· RecycleBinProtect.exe
· Disk Defragmenter.exe
· CD Burner.exe
· ShowDesktop.exe
· BrowseAllUsers.exe
· LockWindowsPartition.exe
· Win99compatibleXP.exe
· MakeUrOwnFamilyTree.exe
· WindowsXp StartMenu Settings.exe
· Recycle Bin.exe
· Adjust Time.exe
· Microsoft Windows Network.exe
· HP_LaserJetAllInOneConfig.exe
· FloppyDiskPartion.exe
· msjavx86.exe
· Office2003 CD-Key.doc.exe
· AmericanOnLine.exe
· Crack_GoogleEarthPro.exe
· Lock Folder.exe
· InstallMSN11En.exe
· InstallMSN11Ar.exe
· JetAudio dump.exe
· KasperSky6.0 Key.doc.exe
· Office2007 Serial.txt.exe
· Office2007 CD-Key.doc.exe
· Make Windows Original.exe
· NokiaN73Tools.exe
· WinrRarSerialInstall.exe

يعني يسوي ملفات وينرار وملفات تطبيقية بأسماء مختلفة وأيقونات مختلفة لتلائم إسم الملف ليخدع المستخدم بتشغيلها

فتجد فايروس أيقونته حق موبايل وآخر على شكل الكرة الأرضية وأخر بشكل تفعيل النظام وآخر بشكل

ملف وورد والكثير الكثير من الأيقونات التي يستخدمها ليخدع المستخدم

وينشر أيضا ملف تطبيق للفايروس داخل إسم كل مجلد كالتالي :

*.doc ______________________________________.exe

*_ .exe

*___________________________________ .exe

حيث الرمز * هو إسم أي مجلد يأخذ أسمه الفايروس ويضعه في التطبيقين ويحط مسافات كثيرة في إسم الملف وقبل الصيغة الرئيسية للفايروس وهي EXE
وحيث الرمز _ هو المسافات التي يكونها الفيروس في إسم الملف

وأيضا عند وجود ملف وورد كما قلت سابقا فإن الفايروس يحط ملف بنفس إسمه مع أيقونة الوورد ويحط مسافات كثيرة قبل صيغة الفيروس

مثال :

*.doc _____________________.exe

حيث رمز * هو إسم ملف الوورد الأصلي ورمز _ هو المسافة فبعض الملفات يحط لها أكثر من 10 مسافات وبعضها يحط لها مسافة واحدة ويمكنكم ملاحظة ذلك في هذه الصورة

إضافة إلى أنه يقوم بتعطيل خيارات المجلد وتعطيل محرر التسجيل و تعطيل إظهار ملفات نظام التشغيل المحمية والملفات المخفية

ومن الجدير بالذكر أن هذا الفيروس حجمه 151 كيلوبايت - فقط - ويقوم بكل الأعمال التخريبية السابقة

كان معكم أخوكم Wahdain من فضاء الفيروسات ^_________^

والسلام عليكم ورحمة الله وبركاته