病毒名称:特洛伊病毒Win32.Mastab Family
其它名称:Win32/Mastab.A, Win32/Mastab.B, Win32/Mastab.C
病毒属性:特洛伊木马 危害性:中等危害 流行程度: ★★★
具体介绍:
病毒特性:
Win32/Mastab是一族特洛伊病毒,能够改写文件并发送垃圾邮件。
感染方式:
运行时,Win32/Mastab显示一个带有土耳其语的信息框,通知用户:“安装不能完成,因为程序没有找到DLL文件。稍后重试”:
一些Win32/Mastab变体使用以下文件名复制到%System%目录:
eTrust.exe
RealTimeMon.exe
有时,特洛伊还会设置一个注册表键值,以确保每次系统启动时运行这个病毒。例如,Win32/Mastab.A设置以下键值:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRuneTrust AntiVir = "%System%eTrust.exe"
Win32/Mastab.C设置以下键值:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRuneTrust = "%System%RealTimeMon.exe"
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
危害:
改写文件
Win32/Mastab通过将文件改写为零来破坏文件。Win32/Mastab的不同变体在被感染机器上搜索以下扩展名的文件进行改写:
.xls
.doc
.zip
.jpg
.asp
.ppt
.tif
.htm*
.fp5
发送垃圾邮件
已知的Mastab变体会发送垃圾邮件。邮件带有土耳其语文本内容,诱使用户打开附加的文档,其中包含政府增加土耳其军队薪水的细节。
以下是病毒邮件示例:
清除:
KILL安全胄甲Vet 30.4.3440 版本可检测/清除此病毒。
