请输入您要查询的百科知识:

 

词条 Win32.Masha.A
释义

病毒名称:蠕虫病毒Win32.Masha.A

其它名称:W32/Backdoor.ANGS (F-Secure), W32.Redlofwen (Symantec), W32/SillyFDC-I (Sophos), Trojan:Win32/VB (MS OneCare), Trojan.Win32.VB.aol (Kaspersky), TROJ_VB.DWI (Trend)

病毒属性:蠕虫病毒 危害性:中等危害 流行程度:

具体介绍:

病毒特性:

Win32/Masha.A是一种蠕虫,通过将病毒复制到映射驱动器的方式进行传播。病毒会终止某些进程,以避免被发现和删除。

感染方式

运行时,Masha.A复制到以下位置:

%Profile%\\My Documents\ew Folder.exe

%All Users%\\Documents\\Top Pictures.exe

%Windows%\\Windows Explorer.exe

并设置以下注册表键值,为了在每次系统启动时运行病毒:

HKLM\\Software\\microsoft\\windows\\currentversion\\Run

\\Explorer = "%Windows%\\Windows Explorer.exe"

注:%Profile%是一个可变的路径。病毒通过查询操作系统来决定当前Profile文件夹的位置。一般在以下路径:C:\\Documents and Settings\\。

- %All Users%是一个可变的路径。病毒通过查询操作系统来决定当前All Users文件夹的位置。一般在以下路径:C:\\Documents and Settings\\All Users。

- %Windows%是一个可变的路径。病毒通过查询操作系统来决定当前Windows文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt; 95,98 和 ME 的是C:\\Windows; XP 的是C:\\Windows。

传播方式

通过映射驱动器传播

Win32/Masha.A 通过将病毒复制到被感染机器上所有可以写入的映射驱动器进行传播。还包括一些可移动的介质,包括软驱A:\\ 和B:\\.。

危害

修改系统设置

蠕虫修改以下注册表键值,为了在资源管理器的窗口标题中显示完整的路径:

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState\\FullPath = 0x1

Masha 还修改以下注册表键值,为了在资源管理器中隐藏已知文件类型的扩展名:

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\HideFileExt = 0x1

安装后,病毒启动一个资源管理器显示"My Documents"目录。显示被安装的恶意文件,并隐藏文件扩展名,使可运行的"New Folder"看起来像一个新文件夹,当用户双击这个文件夹的时候就会运行病毒副本。

终止进程/降低系统设置

为了避免被检测和删除,Masha.A会终止某些程序。

蠕虫监控前台运行窗口标题包含以下字符的软件,并终止这些程序:

registry editor

windows task manager

system configuration utility

病毒还会终止窗口标题中包含以下两组字符任意组合的字符的程序:

"virus" or "trojan"

"scan" or "anti" or "remove" or "imen"

例如,终止窗口标题包含以下字符的程序:

ABC-anti virus

anti virus

antivirus

Company A Antivirus

imen trojan

remove trojan

virus anti

virus helper anti

不会终止窗口标题只包含以下字符的程序:

anti

virus

scan

scan anti

清除:

KILL防病毒软件最新版本可检测/清除此病毒。

kill版本:

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 10:37:00