本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan-Dropper.VBS.Asylum

クラス Trojan-Dropper
プラットフォーム VBS
説明

技術的な詳細

このトロイの木馬は、ユーザーの知らないうちに同意なしに他のトロイの木馬プログラムを被害者マシンにインストールするように設計されています。 Visual Basic Sc​​riptで記述されています。このファイルのサイズは10 796バイトです。

ペイロード

起動時に、トロイの木馬は自身から以下のファイルを解凍し、実行のために起動します:

 %windir%server.exe 

このファイルのサイズは16,384バイトで、Kaspersky Anti-VirusではBackdoor.Win32.Asylum.013として検出されます

このトロイの木馬は、レジストリ値を変更し、HTAファイル拡張子を隠し、マイネットワーク場所のアイコンを変更します。

 [HKCRhtafile]
NeverShowExt = ""

[HKCRhtafileDefaultIcon]
( "Default")= "SHELL32.DLL、17" 

トロイの木馬は%startup%winipc32.htaを削除します。

%windir%server.exeの起動コードを%windir%wininit.iniに書き込みます。

削除手順

コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。

  1. オリジナルのトロイの木馬ファイルを削除します(場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります)。
  2. 次のファイルを削除します。
     %windir%server.exe 
  3. 次のレジストリキーを削除します。
     [HKCRhtafile]
    NeverShowExt = "" 
  4. システムレジストリキーの値を次のように変更します。
     [HKCRhtafileDefaultIcon]
    (デフォルト)= "%SystemRoot%system32mshta.exe、1" 
  5. ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します(Kaspersky Anti-Virusの試用版をダウンロードしてください)。

オリジナルへのリンク