词条 | Win32.Masha.A |
释义 | 病毒名称:蠕虫病毒Win32.Masha.A 其它名称:W32/Backdoor.ANGS (F-Secure), W32.Redlofwen (Symantec), W32/SillyFDC-I (Sophos), Trojan:Win32/VB (MS OneCare), Trojan.Win32.VB.aol (Kaspersky), TROJ_VB.DWI (Trend) 病毒属性:蠕虫病毒 危害性:中等危害 流行程度: 具体介绍: 病毒特性: Win32/Masha.A是一种蠕虫,通过将病毒复制到映射驱动器的方式进行传播。病毒会终止某些进程,以避免被发现和删除。 感染方式 运行时,Masha.A复制到以下位置: %Profile%\\My Documents\ew Folder.exe %All Users%\\Documents\\Top Pictures.exe %Windows%\\Windows Explorer.exe 并设置以下注册表键值,为了在每次系统启动时运行病毒: HKLM\\Software\\microsoft\\windows\\currentversion\\Run \\Explorer = "%Windows%\\Windows Explorer.exe" 注:%Profile%是一个可变的路径。病毒通过查询操作系统来决定当前Profile文件夹的位置。一般在以下路径:C:\\Documents and Settings\\。 - %All Users%是一个可变的路径。病毒通过查询操作系统来决定当前All Users文件夹的位置。一般在以下路径:C:\\Documents and Settings\\All Users。 - %Windows%是一个可变的路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。 传播方式 通过映射驱动器传播 Win32/Masha.A 通过将病毒复制到被感染机器上所有可以写入的映射驱动器进行传播。还包括一些可移动的介质,包括软驱A:\\ 和B:\\.。 危害 修改系统设置 蠕虫修改以下注册表键值,为了在资源管理器的窗口标题中显示完整的路径: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState\\FullPath = 0x1 Masha 还修改以下注册表键值,为了在资源管理器中隐藏已知文件类型的扩展名: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt = 0x1 安装后,病毒启动一个资源管理器显示"My Documents"目录。显示被安装的恶意文件,并隐藏文件扩展名,使可运行的"New Folder"看起来像一个新文件夹,当用户双击这个文件夹的时候就会运行病毒副本。 终止进程/降低系统设置 为了避免被检测和删除,Masha.A会终止某些程序。 蠕虫监控前台运行窗口标题包含以下字符的软件,并终止这些程序: registry editor windows task manager system configuration utility 病毒还会终止窗口标题中包含以下两组字符任意组合的字符的程序: "virus" or "trojan" "scan" or "anti" or "remove" or "imen" 例如,终止窗口标题包含以下字符的程序: ABC-anti virus anti virus antivirus Company A Antivirus imen trojan remove trojan virus anti virus helper anti 不会终止窗口标题只包含以下字符的程序: anti virus scan scan anti 清除: KILL防病毒软件最新版本可检测/清除此病毒。 kill版本: |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。