蠕虫病毒Win32.Acnatt.A
病毒名称:蠕虫病毒Win32.Acnatt.A
其它名称:TrojanProxy:Win32/Agent.AYY (MS OneCare), Trojan.Flush.G (Symantec), W32/Stando-B (Sophos)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:中
具体介绍:
病毒特性:
Win32/Acnatt.A是一种蠕虫,通过逻辑驱动器和可移动驱动器传播。它还在被感染机器上生成其它的恶意程序。它是大小为56,832 字节的Win32可运行程序。
感染方式:
运行时,Win32/Acnatt.A 复制"suchost.exe"到 %Temp% 目录,随后生成以下注册表键值,为了在每次系统启动时运行病毒:
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunscApp = "%Temp%suchost.exe"
如果它不能生成以上键值,就会设置以下键值:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunscApp = "%Temp%suchost.exe"
注:%Temp%是一个可变的路径。病毒通过查询操作系统来决定当前Temp文件夹的位置。一般在以下路径"C:Documents and Settings<username>Local SettingsTemp", or "C:WINDOWSTEMP"。
传播方式:
通过逻辑驱动器和可移动驱动器传播
Acnatt.A 尝试复制 "sys.exe" 到系统的任意逻辑驱动器和可移动驱动器。它还会在同一目录中生成一个autorun.inf ,当访问驱动器的时候运行这个文件。这些文件都被设置为系统的隐藏的文件。
危害:
安装其它恶意程序
蠕虫在%System%目录中生成"activeds.exe" 文件,这个文件检测出是Win32/Bifrost.BP trojan病毒。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32。
清除:
KILL安全胄甲Vet 30.7.3593版本可检测/清除此病毒。