病毒名称:特洛伊病毒Win32.Mastab.A
其它名称:Trojan:Win32/Agent!DA25 (MS OneCare), Trojan.Win32.Delf.zx (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Mastab.A是一族特洛伊病毒,能够改写文件并发送垃圾邮件。
感染方式:
运行时,Win32/Mastab.A显示一个带有土耳其语的信息框:
大概内容如下:
程序不能打开,因为".NET Frame Work"没有安装在机器上。选择“yes”你能够通过主服务器进行安装,这个操作根据你的机器速度需要占用5-13分钟。安装就选择“Yes”,退出就选择“No”……
接下来,特洛伊复制"eTrust.exe"到%System%目录,并修改以下注册表,为了在每次系统启动时运行病毒:
HKLMSoftwareMicrosoftWindowsCurrentVersionRuneTrust AntiVir = "%System%eTrust.exe"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
危害:
改写文件
Mastab.A在被感染机器上扫描所有驱动器和可利用的网络共享,查找带有以下扩展名的文件:
.xls
.doc
.zip
.jpg
.asp
.ppt
.tif
.htm*
.fp5
Mastab通过改写文件的任意数据来破坏找到的文件。
替换文件
在本地的根目录下,特洛伊复制"IO.SYS"系统文件内容到另一个系统文件"ntldr"。
9x系统不会有这种危害;基于NT的系统(例如Windows XP)"IO.SYS"是一个0字节的空文件。Mastab破坏"ntldr"文件,这个文件是系统重启时至关重要的文件。在这个阶段,系统启动将失败,同时依靠系统配置,用户可能看到以下信息:“磁盘错误按任意键重启”。
特洛伊还复制"boot.ini"文件到"boot",并以下列内容替换原始文件:
[boot loader]
timeout=30000
[operating systems]
multi(1)disk(1)rdisk(1)partition(2)SYSTEMS="Format All Disks..." /fastdetect
Mastab.A复制原始"ntldr"文件到"tn"文件,一旦特洛伊已经在PC上运行,用户就会检查根目录和"ntldr"的大小。如果它的大小是0字节,用户在重启之前就需要复制两个文件在根目录的后面:
"boot" 复制到 "boot.ini"
"tn" 复制到 "ntldr"
发送垃圾邮件
Mastab.A尝试使用Microsoft Outlook来发送垃圾邮件到用户Windows Address Book中的地址。根据不同的系统、软件版本和机器设置,用户可能看到以下信息:
清除:
KILL安全胄甲Vet 30.4.3440 版本可检测/清除此病毒。
