流行程度: ★★★
具体介绍:
病毒特性:
Win32/Mastab是一族特洛伊病毒,能够改写档案并传送垃圾邮件。
感染方式:
运行时,Win32/Mastab显示一个带有土耳其语的信息框,通知用户:“安装不能完成,因为程式没有找到DLL档案。稍后重试”:
一些Win32/Mastab变体使用以下档案名称複製到%System%目录:
eTrust.exe
RealTimeMon.exe
有时,特洛伊还会设定一个注册表键值,以确保每次系统启动时运行这个病毒。例如,Win32/Mastab.A设定以下键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eTrustAntiVir = %System%\eTrust.exe
Win32/Mastab.C设定以下键值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eTrust= %System%\RealTimeMon.exe
注:'%System%'是一个可变的路径。病毒通过查询作业系统来决定System资料夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
改写档案
Win32/Mastab通过将档案改写为零来破坏档案。Win32/Mastab的不同变体在被感染机器上搜寻以下扩展名的档案进行改写:
.xls
.doc
.zip
.jpg
.asp
.ppt
.tif
.htm*
.fp5
传送垃圾邮件
已知的Mastab变体会传送垃圾邮件。邮件带有土耳其语文本内容,诱使用户打开附加的文档,其中包含政府增加土耳其军队薪水的细节。
以下是病毒邮件示例:
清除:
KILL安全胄甲Vet 30.4.3440 版本可检测/清除此病毒。
