Trojan-Dropper.VBS.Asylum

Класс Trojan-Dropper
Платформа VBS
Описание

Technical Details

Троянец, созданный для скрытой установки в систему других вредоносных программ. Написан на Visual Basic Script. Имеет размер 10796 байт.

Payload

При запуске вирус распаковывает и запускает на исполнение следующий файл:

  • %windir%server.exe — имеет размер 16384 байта, детектируется Антивирусом Касперского как Backdoor.Win32.Asylum.013

Троян делает расширение HTA-файлов невидимым и заменяет иконку, при помощи которой они отображаются, на значок «Сетевое окружение» — путем изменения значений реестра:

[HKCRhtafile]
NeverShowExt = «»

[HKCRhtafileDefaultIcon]
(«Default») = «SHELL32.DLL,17»

Также троянская программа удаляет из автозагрузки файл «%startup%winipc32.hta» и прописывает в файл «%windir%wininit.ini» свой автозапуск — «%windir%server.exe».

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить следующий файл:
    %windir%server.exe
  3. Удалить ключ реестра:
    [HKCRhtafile]
    NeverShowExt = ""
  4. Изменить значение ключа реестра следующим образом:
    [HKCRhtafileDefaultIcon]
    (Default) = "%SystemRoot%system32mshta.exe,1"
  5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).