病毒名称：特洛伊病毒Win32.Mastab Family

其它名称：Win32/Mastab.A, Win32/Mastab.B, Win32/Mastab.C

病毒属性：特洛伊木马 危害性：中等危害 流行程度： ★★★

具体介绍：

病毒特性：

Win32/Mastab是一族特洛伊病毒，能够改写文件并发送垃圾邮件。

感染方式：

运行时，Win32/Mastab显示一个带有土耳其语的信息框，通知用户：“安装不能完成，因为程序没有找到DLL文件。稍后重试”：

一些Win32/Mastab变体使用以下文件名复制到%System%目录：

eTrust.exe

RealTimeMon.exe

有时，特洛伊还会设置一个注册表键值，以确保每次系统启动时运行这个病毒。例如，Win32/Mastab.A设置以下键值：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\eTrust AntiVir = "%System%\\eTrust.exe"

Win32/Mastab.C设置以下键值：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\eTrust = "%System%\\RealTimeMon.exe"

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

危害：

改写文件

Win32/Mastab通过将文件改写为零来破坏文件。Win32/Mastab的不同变体在被感染机器上搜索以下扩展名的文件进行改写：

.xls

.doc

.zip

.jpg

.asp

.ppt

.tif

.htm*

.fp5

发送垃圾邮件

已知的Mastab变体会发送垃圾邮件。邮件带有土耳其语文本内容，诱使用户打开附加的文档，其中包含政府增加土耳其军队薪水的细节。

以下是病毒邮件示例：

清除：

KILL安全胄甲Vet 30.4.3440 版本可检测/清除此病毒。