名稱
特洛伊病毒Win32.Mastab.A
其它名稱
Trojan:Win32/Agent!DA25 (MS OneCare), Trojan.Win32.Delf.zx (Kaspersky)病毒屬性
特洛伊木馬危害性:中等危害流行程度:具體介紹
病毒特性:Win32/Mastab.A是一族特洛伊病毒,能夠改寫檔案並傳送垃圾郵件。
感染方式:
運行時,Win32/Mastab.A顯示一個帶有土耳其語的信息框:
大概內容如下:
程式不能打開,因為".NET Frame Work"沒有安裝在機器上。選擇“yes”你能夠通過主伺服器進行安裝,這個操作根據你的機器速度需要占用5-13分鐘。安裝就選擇“Yes”,退出就選擇“No”……
接下來,特洛伊複製"eTrust.exe"到%System%目錄,並修改以下註冊表,為了在每次系統啟動時運行病毒:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\eTrust AntiVir = "%System%\eTrust.exe"
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定System資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
危害:
改寫檔案
Mastab.A在被感染機器上掃描所有驅動器和可利用的網路共享,查找帶有以下擴展名的檔案:
.xls
.doc
.zip
.jpg
.asp
.ppt
.tif
.htm*
.fp5
Mastab通過改寫檔案的任意數據來破壞找到的檔案。
替換檔案
在本地的根目錄下,特洛伊複製"IO.SYS"系統檔案內容到另一個系統檔案"ntldr"。
9x系統不會有這種危害;基於NT的系統(例如Windows XP)"IO.SYS"是一個0位元組的空檔案。Mastab破壞"ntldr"檔案,這個檔案是系統重啟時至關重要的檔案。在這個階段,系統啟動將失敗,同時依靠系統配置,用戶可能看到以下信息:“磁碟錯誤按任意鍵重啟”。
特洛伊還複製"boot.ini"檔案到"boot",並以下列內容替換原始檔案:
【boot loader】
timeout=30000
【operating systems】
multi(1)disk(1)rdisk(1)partition(2)\SYSTEMS="Format All Disks..." /fastdetect
Mastab.A複製原始"ntldr"檔案到"tn"檔案,一旦特洛伊已經在PC上運行,用戶就會檢查根目錄和"ntldr"的大小。如果它的大小是0位元組,用戶在重啟之前就需要複製兩個檔案在根目錄的後面:
"boot" 複製到 "boot.ini"
"tn" 複製到 "ntldr"
傳送垃圾郵件
Mastab.A嘗試使用Microsoft Outlook來傳送垃圾郵件到用戶Windows Address Book中的地址。根據不同的系統、軟體版本和機器設定,用戶可能看到以下信息:
清除:
KILL安全胄甲Vet 30.4.3440 版本可檢測/清除此病毒。
