特洛伊病毒Win32.Mastab.A

病毒名称：特洛伊病毒Win32.Mastab.A

其它名称：Trojan:Win32/Agent!DA25 (MS OneCare), Trojan.Win32.Delf.zx (Kaspersky)

病毒属性：特洛伊木马 危害性：中等危害 流行程度：

具体介绍：

病毒特性：

Win32/Mastab.A是一族特洛伊病毒，能够改写文件并发送垃圾邮件。

感染方式：

运行时，Win32/Mastab.A显示一个带有土耳其语的信息框：

大概内容如下：

程序不能打开，因为".NET Frame Work"没有安装在机器上。选择“yes”你能够通过主服务器进行安装，这个操作根据你的机器速度需要占用5－13分钟。安装就选择“Yes”，退出就选择“No”……

接下来，特洛伊复制"eTrust.exe"到%System%目录，并修改以下注册表，为了在每次系统启动时运行病毒：

HKLMSoftwareMicrosoftWindowsCurrentVersionRuneTrust AntiVir = "%System%eTrust.exe"

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。

危害：

改写文件

Mastab.A在被感染机器上扫描所有驱动器和可利用的网络共享，查找带有以下扩展名的文件：

.xls

.doc

.zip

.jpg

.asp

.ppt

.tif

.htm*

.fp5

Mastab通过改写文件的任意数据来破坏找到的文件。

替换文件

在本地的根目录下，特洛伊复制"IO.SYS"系统文件内容到另一个系统文件"ntldr"。

9x系统不会有这种危害；基于NT的系统（例如Windows XP）"IO.SYS"是一个0字节的空文件。Mastab破坏"ntldr"文件，这个文件是系统重启时至关重要的文件。在这个阶段，系统启动将失败，同时依靠系统配置，用户可能看到以下信息：“磁盘错误按任意键重启”。

特洛伊还复制"boot.ini"文件到"boot"，并以下列内容替换原始文件：

[boot loader]

timeout=30000

[operating systems]

multi(1)disk(1)rdisk(1)partition(2)SYSTEMS="Format All Disks..." /fastdetect

Mastab.A复制原始"ntldr"文件到"tn"文件，一旦特洛伊已经在PC上运行，用户就会检查根目录和"ntldr"的大小。如果它的大小是0字节，用户在重启之前就需要复制两个文件在根目录的后面：

"boot" 复制到 "boot.ini"

"tn" 复制到 "ntldr"

发送垃圾邮件

Mastab.A尝试使用Microsoft Outlook来发送垃圾邮件到用户Windows Address Book中的地址。根据不同的系统、软件版本和机器设置，用户可能看到以下信息：

清除：

KILL安全胄甲Vet 30.4.3440 版本可检测/清除此病毒。