病毒概況
病毒名稱:蠕蟲病毒Win32.Acnatt.A
其它名稱:TrojanProxy:Win32/Agent.AYY (MS OneCare), Trojan.Flush.G (Symantec), W32/Stando-B (Sophos)
病毒屬性:蠕蟲病毒危害性:中等危害流行程度:中
具體介紹:
病毒特性:
Win32/Acnatt.A是一種蠕蟲,通過邏輯驅動器和可移動驅動器傳播。它還在被感染機器上生成其它的惡意程式。它是大小為56,832 位元組的Win32可運行程式。
感染方式:
運行時,Win32/Acnatt.A 複製"suchost.exe"到 %Temp% 目錄,隨後生成以下註冊表鍵值,為了在每次系統啟動時運行病毒:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\scApp = "%Temp%\suchost.exe"
如果它不能生成以上鍵值,就會設定以下鍵值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\scApp = "%Temp%\suchost.exe"
註:%Temp%是一個可變的路徑。病毒通過查詢作業系統來決定當前Temp資料夾的位置。一般在以下路徑"C:\Documents and Settings\<username>\Local Settings\Temp", or "C:\WINDOWS\TEMP"。
傳播方式:
通過邏輯驅動器和可移動驅動器傳播
Acnatt.A 嘗試複製 "sys.exe" 到系統的任意邏輯驅動器和可移動驅動器。它還會在同一目錄中生成一個autorun.inf ,當訪問驅動器的時候運行這個檔案。這些檔案都被設定為系統的隱藏的檔案。
危害及清除
危害:
安裝其它惡意程式
蠕蟲在%System%目錄中生成"activeds.exe" 檔案,這個檔案檢測出是Win32/Bifrost.BP Trojan病毒。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
清除:
KILL安全胄甲Vet 30.7.3593版本可檢測/清除此病毒。
