病毒名称:蠕虫病毒Win32.Masha.A
其它名称:W32/Backdoor.ANGS (F-Secure), W32.Redlofwen (Symantec), W32/SillyFDC-I (Sophos), Trojan:Win32/VB (MS OneCare), Trojan.Win32.VB.aol (Kaspersky), TROJ_VB.DWI (Trend)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Masha.A是一种蠕虫,通过将病毒复制到映射驱动器的方式进行传播。病毒会终止某些进程,以避免被发现和删除。
感染方式
运行时,Masha.A复制到以下位置:
%Profile%My DocumentsNew Folder.exe
%All Users%DocumentsTop Pictures.exe
%Windows%Windows Explorer.exe
并设置以下注册表键值,为了在每次系统启动时运行病毒:
HKLMSoftwaremicrosoftwindowscurrentversionRun
Explorer = "%Windows%Windows Explorer.exe"
注:%Profile%是一个可变的路径。病毒通过查询操作系统来决定当前Profile文件夹的位置。一般在以下路径:C:Documents and Settings。
- %All Users%是一个可变的路径。病毒通过查询操作系统来决定当前All Users文件夹的位置。一般在以下路径:C:Documents and SettingsAll Users。
- %Windows%是一个可变的路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:Winnt; 95,98 和 ME 的是C:Windows; XP 的是C:Windows。
传播方式
通过映射驱动器传播
Win32/Masha.A 通过将病毒复制到被感染机器上所有可以写入的映射驱动器进行传播。还包括一些可移动的介质,包括软驱A: 和B:.。
危害
修改系统设置
蠕虫修改以下注册表键值,为了在资源管理器的窗口标题中显示完整的路径:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerCabinetStateFullPath = 0x1
Masha 还修改以下注册表键值,为了在资源管理器中隐藏已知文件类型的扩展名:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt = 0x1
安装后,病毒启动一个资源管理器显示"My Documents"目录。显示被安装的恶意文件,并隐藏文件扩展名,使可运行的"New Folder"看起来像一个新文件夹,当用户双击这个文件夹的时候就会运行病毒副本。
终止进程/降低系统设置
为了避免被检测和删除,Masha.A会终止某些程序。
蠕虫监控前台运行窗口标题包含以下字符的软件,并终止这些程序:
registry editor
windows task manager
system configuration utility
病毒还会终止窗口标题中包含以下两组字符任意组合的字符的程序:
"virus" or "trojan"
"scan" or "anti" or "remove" or "imen"
例如,终止窗口标题包含以下字符的程序:
ABC-anti virus
anti virus
antivirus
Company A Antivirus
imen trojan
remove trojan
virus anti
virus helper anti
不会终止窗口标题只包含以下字符的程序:
anti
virus
scan
scan anti
清除:
KILL防病毒软件最新版本可检测/清除此病毒。
kill版本:
