Win32/mabezat.b

Folosesc BitDefender total security 2008 si nu a detectat acest virus polimorfic.La scanarea pe virus total a fisierului suspect am avut urmatorul rezultat Win32/Mabezat.B(eTrust-Vet), Worm.Win32.Mabezat.b (F-Secure), Worm.Win32.Mabezat.b (Ikarus), Worm.Win32.Mabezat.b (Kaspersky), W32/Mabezat.a (McAfee), Win32/Mabezat.A (NOD32v2), Win32.Malware.gen!92 (Webwasher-Gateway).Am oprit viruselul din task manager dupa care lam sters din C.Am cautat pe net buletinul de analiza al virusului si am aflat ca infecteaza explorer.exe,isi creeaza un fisier zPharaoh.exe si un autorun. Exista si alta solutie inafara de formatare dat fiind faptul ca este un infector de executabile? Sunt foarte dezamagita ca BD pe care il recomand tuturor ca fiind no1 nu a detectat nimic nici inainte de instalare cand am scanat fisierul, nici in timpul instalarii. :huh: In cazul in care doriti pot trimite un sample sa il adaugati in baza de definitii,sau de ce nu poate faceti un toool de dezinfectie. :wub:

Comentarii

  • Folosesc BitDefender total security 2008 si nu a detectat acest virus polimorfic.La scanarea pe virus total a fisierului suspect am avut urmatorul rezultat Win32/Mabezat.B(eTrust-Vet), Worm.Win32.Mabezat.b (F-Secure), Worm.Win32.Mabezat.b (Ikarus), Worm.Win32.Mabezat.b (Kaspersky), W32/Mabezat.a (McAfee), Win32/Mabezat.A (NOD32v2), Win32.Malware.gen!92 (Webwasher-Gateway).Am oprit viruselul din task manager dupa care lam sters din C.Am cautat pe net buletinul de analiza al virusului si am aflat ca infecteaza explorer.exe,isi creeaza un fisier zPharaoh.exe si un autorun. Exista si alta solutie inafara de formatare dat fiind faptul ca este un infector de executabile? Sunt foarte dezamagita ca BD pe care il recomand tuturor ca fiind no1 nu a detectat nimic nici inainte de instalare cand am scanat fisierul, nici in timpul instalarii. :huh: In cazul in care doriti pot trimite un sample sa il adaugati in baza de definitii,sau de ce nu poate faceti un toool de dezinfectie. :wub:


    Buna ziua,


    Daca se poate sa trimiteti un fisier pentru o analiza mai amanuntita ar fi perfect. In functie de sample o sa facem si un tool de dezinfectie.


    Va multumim,


    Daniel Radu

  • Buna lyurpy,


    Da, chiar te rog sa ne trimiti un sample din acest virus. Ca sa ajunga la noi, e suficient sa il pui intr-o arhiva (zip, rar, orice), protejata cu parola infected (parolarea e necesara pentru a preveni coruperea fisierului in cursul transferului prin retea). Apoi ataseaza arhiva la urmatorul tau post, in acest topic. Va fi analizata, si detectia va fi adaugata cat mai curand posibil.


    De asemenea, poti urma aceeasi procedura pentru orice alte fisiere infectate si nedetectate de BitDefender.


    Cauza pentru care BitDefender nu recunoaste acest virus este ca nu exista solutii de securitate care sa ofere 100% protectie, acest lucru fiind fizic imposibil din cauza numarului mare de virusi care apar zilnic. Echipa BitDefender incearca sa tina pasul cu ultimele amenintari, dar intotdeauna virusii vor fi cu un mic pas inainte, pentru ca ei apar primii. :)


    Cris.

  • lyurpy
    editat februarie 2009

    Aveti aici sample'ul.O sa va mai trimit niste fisiere la fel de dragute

  • Deci sample-ul care la-i trimis e clean, si nu contine nici urme de Mabezat. Mai trimite inca odata, de preferat mai multe sample-uri care stii sigur ca sunt infectate. Ai grija ca intre timp sa nu ai vreo protectie de la vre-un alt AV instalat care sa le curate intre timp.


    Deci cleanul deja exista pentru acest virus, doar ca inca nu este intrat in produs din cauza testelor. Oricum asteptam sample-urile sa fim siguri ca ti le curatam, sa nu fie vreo versiune noua. Daca le trimiti repede, cam pe 12 mai va intra si cleanul.

  • lyurpy
    editat februarie 2009

    Deci sample-ul este infectat uite am mai instalat o data pe compul meu ca sa trim fisierul.Daca il instalai pe oarecare pc si trimiteai fisierul pe virus total la analiza iti dadea rezultatul asta


    File YahooPass.exe received on 05.10.2008 12:55:02 (CET)


    Current status: finished


    Result: 6/31 (19.36%)


    Compact


    Print results Antivirus Version Last Update Result


    AhnLab-V3 2008.5.10.0 2008.05.10 -


    AntiVir 7.8.0.17 2008.05.09 -


    Authentium 4.93.8 2008.05.10 -


    Avast 4.8.1169.0 2008.05.10 -


    AVG 7.5.0.516 2008.05.10 -


    BitDefender 7.2 2008.05.08 -


    CAT-QuickHeal 9.50 2008.05.09 (Suspicious) - DNAScan


    ClamAV 0.92.1 2008.05.10 -


    DrWeb 4.44.0.09170 2008.05.10 -


    eSafe 7.0.15.0 2008.05.07 Suspicious File


    eTrust-Vet 31.4.5771 2008.05.08 -


    Ewido 4.0 2008.05.10 -


    F-Prot 4.4.2.54 2008.05.10 -


    F-Secure 6.70.13260.0 2008.05.09 -


    Fortinet 3.14.0.0 2008.05.10 -


    Ikarus T3.1.1.26.0 2008.05.10 Backdoor.Win32.Feardoor.15.B


    Kaspersky 7.0.0.125 2008.05.10 -


    McAfee 5291 2008.05.08 -


    Microsoft 1.3408 2008.05.10 -


    NOD32v2 3090 2008.05.09 -


    Norman 5.80.02 2008.05.09 -


    Panda 9.0.0.4 2008.05.10 Suspicious file


    Prevx1 V2 2008.05.10 -


    Rising 20.43.51.00 2008.05.10 -


    Sophos 4.29.0 2008.05.10 -


    Sunbelt 3.0.1097.0 2008.05.07 VIPRE.Suspicious


    Symantec 10 2008.05.10 -


    TheHacker 6.2.92.305 2008.05.08 -


    VBA32 3.12.6.5 2008.05.10 -


    VirusBuster 4.3.26:9 2008.05.09 -


    Webwasher-Gateway 6.6.2 2008.05.09 Win32.Malware.gen!92 (suspicious)


    Am scanat fisierul si fara instalare cum lam trimis mai devreme la voi si mia dat doar un suspicious file.Banuiesc ca asta din cauza ca este un polimorfic.Cred ca are nevoie si de ymessenger instalat.Dupas ce am instalat din nou progr nu am mai obs in task manager procesul.Am decis sa instalez si messengerul.Surpriza!A aparut defense de la Comodo firewall care spunea ca detecteaza activitate suspicioasa cu GLB211tmp si ca ar putea fi un maware.Nu conteaza daca ma infectez in ontinuare voi instala ym si dupa va voi mai trimite un sample.Devine din ce in ce mai ciudat.

  • lyurpy
    editat februarie 2009

    Am revenit.Mam documentat mai bine si nu e vorba de mabezat cum am crezut initial ci este un server de acid drop bine bindat.


    De la infectare mi'au aparut numeroase erori de dll si una f ciudat care zicea "C:\Windows\system32\ole2.dll is not a valid windows image .Please check against installation diskette" :blink: Am procesorul la 93% desi nu ruleaza decat opera,pc'ul ingheata.Aveti mai jos un alt fisier pe care nu il aveti in baza de definitii sper ca nu spuneti iara ca este clean...