特洛伊病毒Win32.MastabFamily

流行程度： ★★★

具體介紹：

病毒特性：

Win32/Mastab是一族特洛伊病毒，能夠改寫檔案並傳送垃圾郵件。

感染方式：

運行時，Win32/Mastab顯示一個帶有土耳其語的信息框，通知用戶：“安裝不能完成，因為程式沒有找到DLL檔案。稍後重試”：

一些Win32/Mastab變體使用以下檔案名稱複製到%System%目錄：

eTrust.exe

RealTimeMon.exe

有時，特洛伊還會設定一個註冊表鍵值，以確保每次系統啟動時運行這個病毒。例如，Win32/Mastab.A設定以下鍵值：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eTrustAntiVir = "%System%\eTrust.exe"

Win32/Mastab.C設定以下鍵值：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eTrust= "%System%\RealTimeMon.exe"

註：'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

危害：

改寫檔案

Win32/Mastab通過將檔案改寫為零來破壞檔案。Win32/Mastab的不同變體在被感染機器上搜尋以下擴展名的檔案進行改寫：

.xls

.doc

.zip

.jpg

.asp

.ppt

.tif

.htm*

.fp5

傳送垃圾郵件

已知的Mastab變體會傳送垃圾郵件。郵件帶有土耳其語文本內容，誘使用戶打開附加的文檔，其中包含政府增加土耳其軍隊薪水的細節。

以下是病毒郵件示例：

清除：

KILL安全胄甲Vet 30.4.3440 版本可檢測/清除此病毒。