| 词条 | 特洛伊病毒Win32.Mastab.A |
| 释义 | § 名称 特洛伊病毒Win32.Mastab.A § 其它名称 Trojan:Win32/Agent!DA25 (MS OneCare), Trojan.Win32.Delf.zx (Kaspersky) § 病毒属性 特洛伊木马 危害性:中等危害 流行程度: § 具体介绍 病毒特性: Win32/Mastab.A是一族特洛伊病毒,能够改写文件并发送垃圾邮件。 感染方式: 运行时,Win32/Mastab.A显示一个带有土耳其语的信息框: 大概内容如下: 程序不能打开,因为".NET Frame Work"没有安装在机器上。选择“yes”你能够通过主服务器进行安装,这个操作根据你的机器速度需要占用5-13分钟。安装就选择“Yes”,退出就选择“No”…… 接下来,特洛伊复制"eTrust.exe"到%System%目录,并修改以下注册表,为了在每次系统启动时运行病毒: HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\eTrust AntiVir = "%System%\\eTrust.exe" 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 危害: 改写文件 Mastab.A在被感染机器上扫描所有驱动器和可利用的网络共享,查找带有以下扩展名的文件: .xls .doc .zip .jpg .asp .ppt .tif .htm* .fp5 Mastab通过改写文件的任意数据来破坏找到的文件。 替换文件 在本地的根目录下,特洛伊复制"IO.SYS"系统文件内容到另一个系统文件"ntldr"。 9x系统不会有这种危害;基于NT的系统(例如Windows XP)"IO.SYS"是一个0字节的空文件。Mastab破坏"ntldr"文件,这个文件是系统重启时至关重要的文件。在这个阶段,系统启动将失败,同时依靠系统配置,用户可能看到以下信息:“磁盘错误按任意键重启”。 特洛伊还复制"boot.ini"文件到"boot",并以下列内容替换原始文件: 【boot loader】 timeout=30000 【operating systems】 multi(1)disk(1)rdisk(1)partition(2)\\SYSTEMS="Format All Disks..." /fastdetect Mastab.A复制原始"ntldr"文件到"tn"文件,一旦特洛伊已经在PC上运行,用户就会检查根目录和"ntldr"的大小。如果它的大小是0字节,用户在重启之前就需要复制两个文件在根目录的后面: "boot" 复制到 "boot.ini" "tn" 复制到 "ntldr" 发送垃圾邮件 Mastab.A尝试使用Microsoft Outlook来发送垃圾邮件到用户Windows Address Book中的地址。根据不同的系统、软件版本和机器设置,用户可能看到以下信息: 清除: KILL安全胄甲Vet 30.4.3440 版本可检测/清除此病毒。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。