親クラス: TrojWare
トロイの木馬は、ユーザーによって許可されていないアクションを実行する悪意のあるプログラムであり、データを削除、ブロック、変更またはコピーし、コンピュータやコンピュータネットワークのパフォーマンスを阻害します。ウイルスやワームとは異なり、このカテゴリに該当する脅威は、自分自身のコピーを作成することも、自己複製することもできません。トロイの木馬は、感染したコンピュータで実行するアクションの種類に応じて分類されます。クラス: Trojan-Dropper
Trojan-Dropperプログラムは、コードに組み込まれた悪質なプログラムを犠牲PCに秘密裏にインストールするように設計されています。この種の悪意のあるプログラムは通常、被害者のドライブ(通常はWindowsディレクトリ、Windowsシステムディレクトリ、一時ディレクトリなど)に一定の範囲のファイルを保存し、通知なしで起動します(またはアーカイブエラーの偽の通知、古いオペレーティングシステムのバージョンなど)。このようなプログラムは、以下の目的でハッカーによって使用されています。トロイの木馬プログラムおよび/またはウイルスを秘密裏にインストールして、既知の悪意のあるプログラムがウイルス対策ソリューションによって検出されないようにします。すべてのウイルス対策プログラムがこのタイプのトロイの木馬の中のすべてのコンポーネントをスキャンできるわけではありません。プラットフォーム: VBS
Visual Basic Scripting Edition(VBScript)は、Windows Script Hostによって解釈されるスクリプト言語です。 VBScriptは、Microsoft Windowsオペレーティングシステムでスクリプトを作成するために広く使用されています。説明
技術的な詳細
このトロイの木馬は、ユーザーの知らないうちに同意なしに他のトロイの木馬プログラムを被害者マシンにインストールするように設計されています。 Visual Basic Scriptで記述されています。このファイルのサイズは10 796バイトです。
ペイロード
起動時に、トロイの木馬は自身から以下のファイルを解凍し、実行のために起動します:
%windir%server.exe
このファイルのサイズは16,384バイトで、Kaspersky Anti-VirusではBackdoor.Win32.Asylum.013として検出されます
このトロイの木馬は、レジストリ値を変更し、HTAファイル拡張子を隠し、マイネットワーク場所のアイコンを変更します。
[HKCRhtafile]NeverShowExt = ""[HKCRhtafileDefaultIcon]( "Default")= "SHELL32.DLL、17"
トロイの木馬は%startup%winipc32.htaを削除します。
%windir%server.exeの起動コードを%windir%wininit.iniに書き込みます。
削除手順
コンピュータに最新のウイルス対策ソフトウェアがない場合、またはウイルス対策ソリューションがまったくない場合は、以下の手順に従って悪質なプログラムを削除してください。
- オリジナルのトロイの木馬ファイルを削除します(場所は、プログラムが最初に被害者マシンに侵入した方法によって異なります)。
- 次のファイルを削除します。
%windir%server.exe
- 次のレジストリキーを削除します。
[HKCRhtafile]NeverShowExt = ""
- システムレジストリキーの値を次のように変更します。
[HKCRhtafileDefaultIcon](デフォルト)= "%SystemRoot%system32mshta.exe、1"
- ウイルス対策データベースを更新し、コンピュータのフルスキャンを実行します(Kaspersky Anti-Virusの試用版をダウンロードしてください)。
も参照してください
お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com
この脆弱性についての記述に不正確な点がありますか? お知らせください!