ویروس نویسی

این ویروس هم آثا زیادی دارد از جمله:

کپی در سیستم های دیگر بدون دانستن خود فرد

از بین برنده ویندوز

...

نوع : ویروس
محیطهای قابل اجرا: Windows 2000,XP,NT,....

خصوصیات :

جزئیات و خصوصیات بدافزار W32/Mabezat.a به شرح زیر می باشد.

  فایلهایی که بر روی سیستم ایجاد می نماید عبارتند از:

Filename(s) نام  و مسیر فایل	File Size اندازه فایل	Malware Name نام بدافزار
C:\Documents and Settings\hook.dl_	160,895 bytes	W32/Mabezat.a
C:\Documents and Settings\tazebama.dll	32,768 bytes	W32/Mabezat.a
C:\Documents and Settings\tazebama.dl_	160,895 bytes	W32/Mabezat.a
C:\Documents and Settings\[UserName]\Application Data  \tazebama\zPharaoh.dat	220 bytes	------------
C:\zPharaoh.exe	161,795 bytes	W32/Mabezat.a
C:\autorun.inf		------------

   این ویروس علاوه بر ایجاد فایلهای ذکر شده ، فایلهای اجرایی با پسوند exe را آلوده می نماید. فایلهای آلوده شده به این ویروس با نام W32/Mabezat.a   شناسایی و پاکسازی می شوند.

  Process هایی که این بدافزار، در سیستم ایجاد می کند:

Filename(s) نام  و مسیر پروسه	Process Name نام پروسه
C:\Documents and Settings\tazebama.dl_	tazebama.dl_
C:\zPharaoh.exe	zPharaoh.exe

   با قراردادن یک کپی از خود، با نامهای متفاوت به همراه فایل Autorun.inf بر روی Cool Disk باعث انتقال و انتشار خود بر روی سیستمهای متفاوت می شود.  (خود را با نامهایی مشابه نامهای زیر بر روی Cool Diskکپی می نماید.)

"My documents .exe"
"Readme.doc .exe"
"tazebama.exe"

  تغییرات رجیستری سیستم، به شرح ذیل می باشد:

HKEY_CURRENT_USER\Software\Microsoft\Exchange

و باعث حذف مقدار زیر از کلید رجیستری ذکر شده می شود.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoDriveTypeAutoRun = 0x00000091

   این بدافزار خود را از طریق شبکه و فایلهای Attache شده آلوده در پست های الکترونیکی منتشر می کند.