特洛伊病毒Win32.Collet.AL
病毒名称:特洛伊病毒Win32.Collet.AL
其它名称:Troj/Agent-GVE (Sophos), Win32/Cbeplay.E, BackDoor-DNM (McAfee), TROJ_STATIK.A (Trend), W32/Tibs.AAB (F-Secure), Trojan-Downloader.Win32.Exchanger.f (Kaspersky)
病毒属性:特洛伊木马 危害性:中等危害 流行程度:
具体介绍:
病毒特性:
Win32/Collet.AL是一种能够下载并运行任意文件的特洛伊病毒。
感染方式:
Win32/Collet.AL通常是作为垃圾邮件中的一个链接被送达,邮件中描述链接是一个名人的图片,例如Britney Spears 或者 Angelina Jolie,以此作为诱饵,诱使用户点击这个链接来下载病毒。
垃圾邮件的主体可能是"Naked Shakira Clip",邮件内容可能是"Download and watch",并附加一个链接。如果用户点击这个链接,就会下载并运行特洛伊病毒。一旦病毒被运行,Win32/Collet.AL就会复制到%System%CbEvtSvc.exe。
注:%System%是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows 在Windows 2000 and NT默认的系统安装路径是C:WinntSystem32; 95,98 和 ME 的是C:WindowsSystem; XP 的是C:WindowsSystem32;Vista 的是 C:WindowsSystem32。
Collet生成"CbEvtSvc"服务,以确保每次系统启动时运行病毒。服务在本地系统账户下运行。生成服务之后,Win32/Cbeplay.E启动它。
危害:
下载并运行任意文件
Win32/Collet.AL作为一个服务被启动后,就会等待30分钟,随后连接207.10.234.217 IP地址。它会从上面获取下载列表并下载文件。
病毒会下载并运行一些文件,如%AppData%<8 to 10 random digits>.exe。
注:%AppData%是一个可变的路径。病毒通过查询操作系统来决定AppData文件夹的位置。一般在以下路径C:Documents and Settings<username>Application Data。
通常下载的文件是Win32/AdClicker和Win32/Fuzfle 病毒变体。
清除:
KILL防病毒软件最新版本可检测/清除此病毒。