Hauptgruppierung: TrojWare
Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.
Kategorie: Trojan-Dropper
Trojan-Dropper-Programme sind so konzipiert, dass bösartige Programme, die in ihren Code integriert sind, heimlich auf den Computer des Opfers installiert werden.Diese Art von bösartigem Programm speichert normalerweise eine Reihe von Dateien auf dem Laufwerk des Opfers (normalerweise im Windows-Verzeichnis, im Windows-Systemverzeichnis, temporären Verzeichnis usw.) und startet sie ohne jegliche Benachrichtigung (oder mit falscher Benachrichtigung über einen Archivfehler, ein veraltete Betriebssystemversion, etc.).
Solche Programme werden von Hackern verwendet, um:
Installiere heimlich Trojanische Programme und / oder Viren
Schutz bekannter Schadprogramme vor dem Aufspüren durch Antivirus-Lösungen; Nicht alle Antivirenprogramme können alle Komponenten in dieser Art von Trojanern durchsuchen.
Mehr Informationen
Plattform: VBS
Visual Basic Scripting Edition (VBScript) ist eine Skriptsprache, die von Windows Script Host interpretiert wird. VBScript wird häufig zum Erstellen von Skripten unter Microsoft Windows-Betriebssystemen verwendet.Beschreibung
Technische Details
Dieser Trojaner wurde entwickelt, um andere Trojanerprogramme ohne Wissen oder Zustimmung des Benutzers auf dem Opfercomputer zu installieren. Es ist in Visual Basic Script geschrieben. Die Datei hat eine Größe von 10 796 Bytes.
Nutzlast
Beim Start entpackt der Trojaner die folgende Datei von sich selbst und startet sie zur Ausführung:
% windir% server.exe
Diese Datei ist 16.384 Bytes groß und wird von Kaspersky Anti-Virus als Backdoor.Win32.Asylum.013 erkannt
Der Trojaner ändert auch Registrierungswerte, wodurch HTA-Dateierweiterungen ausgeblendet und das Symbol für Meine Netzwerkumgebung geändert wird.
[HKCRhtafile]NeverShowExt = ""[HKCRhtafileDefaultIcon]("Standard") = "SHELL32.DLL, 17"
Der Trojaner löscht% startup% winipc32.hta.
Es schreibt den Startcode für% windir% server.exe in% windir% wininit.ini.
Anweisungen zum Entfernen
Wenn Ihr Computer über kein aktuelles Antivirenprogramm verfügt oder über keine Antivirussoftware verfügt, führen Sie die folgenden Schritte aus, um das schädliche Programm zu löschen:
- Löschen Sie die ursprüngliche Trojaner-Datei (die Position hängt davon ab, wie das Programm ursprünglich den Opfercomputer durchdrungen hat).
- Löschen Sie die folgenden Dateien:
% windir% server.exe
- Löschen Sie den folgenden Registrierungsschlüssel:
[HKCRhtafile]NeverShowExt = ""
- Ändern Sie den Systemregistrierungsschlüsselwert zu:
[HKCRhtafileDefaultIcon](Standard) = "% SystemRoot% system32mshta.exe, 1"
- Aktualisieren Sie Ihre Antiviren-Datenbanken und führen Sie eine vollständige Überprüfung des Computers durch ( laden Sie eine Testversion von Kaspersky Anti-Virus herunter ).
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com