Mengupas virus Tazebama.dll

Overview

Bila tiba-tiba PC atau Laptop anda menemui kelainan, dan di “C:\ Documents and Settings” ada file bernama tazebama.dll, maka anda wajib curiga. Bisa jadi PC / Laptop anda telah terinfeksi Virus Win32/Mabezat.A (Tazebama).

Virus ini pertama kali muncul sekitar November 2007 dan mempunyai banyak nama alias, di antaranya Worm.Win32.Mabezat.b (Kaspersky), W32/Mabezat (McAfee), Win32/Mabezat.A (Grisoft) (untuk selanjutnya kita namakan Tazebama). Virus ini merupakan polymorphic file infector dengan ukuran sekita 155 KB dan bekerja pada platform Windows.

Di awal instalasinya di computer kita, virus Tazebama ini akan meng-copy diri ke “%drive%\Documents and Settings\” (%drive% di sini adalah nama drive system windows kita seperti C:, D:, dan lain-lain) dengan nama file tazebama.dl_ dan hook.dl_. Selain itu, virus ini pun menaruh file tazebama.dll (32768 B) di folder yang sama. Virus ini pun membuat folder “%appdata%\tazebama\”

Setelah itu, virus yang sedang kita bahas ini akan menghapus Registry Entry berikut:

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoDriveTypeAutoRun”

• [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] “NoDriveTypeAutoRun”

Kemudian ia akan membuat Registry Entry berikut :

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden” = 2

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “HideFileExt” = 1

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden” = 0

Penginfeksian Executable File

Virus ini akan menginfeksi Executable File. Virus ini akan mencari file dengan ekstensi .exe dan kemudian ia akan menambah code virus di belakang file yang asli. File induk akan diubah sehingga membuat si virus lah yang tereksekusi ketika file induk dijalankan.

Penyebaran

Virus kita ini akan mengcopy diri ke root folders dari smeua drive dengan nama zPharaoh.exe dan autorun.inf di folder yang sama. Virus ini pun akan mengcopy diri ke semua folder di Removable File dengan nama-nama berikut :

Adjust Time.exe

AmericanOnLine.exe

Antenna2Net.exe

BrowseAllUsers.exe

CD Burner.exe

Crack_GoogleEarthPro.exe

Disk Defragmenter.exe

FaxSend.exe

FloppyDiskPartion.exe

GoogleToolbarNotifier.exe

HP_LaserJetAllInOneConfig.exe

IDE Conector P2P.exe

InstallMSN11Ar.exe

InstallMSN11En.exe

JetAudio dump.exe

KasperSky6.0 Key.doc.exe

Lock Folder.exe

LockWindowsPartition.exe

Make Windows Original.exe

MakeUrOwnFamilyTree.exe

Microsoft MSN.exe

Microsoft Windows Network.exe

msjavx86.exe

NokiaN73Tools.exe

Office2003 CD-Key.doc.exe

Office2007 Serial.txt.exe

PanasonicDVD_DigitalCam.exe

RadioTV.exe

Recycle Bin.exe

RecycleBinProtect.exe

ShowDesktop.exe

Sony Erikson DigitalCam.exe

Win98compatibleXP.exe

Windows Keys Secrets.exe

WindowsXp StartMenu Settings.exe

WinrRarSerialInstall.exe

Informasi Lain

Jika System Tanggal mesin tersebut memenuhi kondisi yang ditetapkan oleh virus, maka virus tersebut akan mengenkripsi file-file dengan ekstensi berikut :

.ASP

.ASPX

.ASPX.CS

.BAS

.C

.CPP

.DOC

.H

.HLP

.HTM

.HTML

.MDB

.MDF

.PAS

.PDF

.PHP

.PPT

.PSD

.RAR

.RTF

.TXT

.XLS

.ZIP

Virus ini pun akan mengcopy diri ke folder “%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\” dengan nama zPharaoh.exe dan autorun.inf. Virus ini pun akan menghapus file yang ada di folder tersebut.

Virus ini akan membuat file teks “%appdata%\tazebama\zPharaoh.dat” dan membuat file-file berikut di folder “%drive%\Documents and Settings\” :

MyDocuments.rar

backup.rar

documents_backup.rar

imp_data.rar

source.rar

windows_secrets.rar

passwords.rar

serials.rar

office_crack.rar

windows.rar

Archive ini mengandung file .exe yang merupakan bagian dari virus.

Explore posts in the same categories: Virus dan temannya

Tags: mabezat, tazebama, virus, windows

You can comment below, or link to this permanent URL from your own site.