特洛伊病毒Win32.MastabFamily,屬於特洛伊木馬病毒。能夠改寫檔案並傳送垃圾郵件。
基本介紹
- 中文名:特洛伊病毒Win32.MastabFamily
- 外文名:Win32/Mastab.A, Win32/Mastab.B, Win32/Mastab.C
- 病毒屬性:特洛伊木馬
- 危害性:中等危害
流行程度: ★★★
具體介紹:
病毒特性:
Win32/Mastab是一族特洛伊病毒,能夠改寫檔案並傳送垃圾郵件。
感染方式:
運行時,Win32/Mastab顯示一個帶有土耳其語的信息框,通知用戶:“安裝不能完成,因為程式沒有找到DLL檔案。稍後重試”:
一些Win32/Mastab變體使用以下檔案名稱複製到%System%目錄:
eTrust.exe
RealTimeMon.exe
有時,特洛伊還會設定一個註冊表鍵值,以確保每次系統啟動時運行這個病毒。例如,Win32/Mastab.A設定以下鍵值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eTrustAntiVir = "%System%\eTrust.exe"
Win32/Mastab.C設定以下鍵值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eTrust= "%System%\RealTimeMon.exe"
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
改寫檔案
Win32/Mastab通過將檔案改寫為零來破壞檔案。Win32/Mastab的不同變體在被感染機器上搜尋以下擴展名的檔案進行改寫:
.xls
.doc
.zip
.jpg
.asp
.ppt
.tif
.htm*
.fp5
傳送垃圾郵件
已知的Mastab變體會傳送垃圾郵件。郵件帶有土耳其語文本內容,誘使用戶打開附加的文檔,其中包含政府增加土耳其軍隊薪水的細節。
以下是病毒郵件示例:
清除:
KILL安全胄甲Vet 30.4.3440 版本可檢測/清除此病毒。