Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Троянец, созданный для скрытой установки в систему других вредоносных программ. Написан на Visual Basic Script. Имеет размер 10796 байт.

Payload

При запуске вирус распаковывает и запускает на исполнение следующий файл:

%windir%server.exe — имеет размер 16384 байта, детектируется Антивирусом Касперского как Backdoor.Win32.Asylum.013

Троян делает расширение HTA-файлов невидимым и заменяет иконку, при помощи которой они отображаются, на значок «Сетевое окружение» — путем изменения значений реестра:

[HKCRhtafile]
NeverShowExt = «»

[HKCRhtafileDefaultIcon]
(«Default») = «SHELL32.DLL,17»

Также троянская программа удаляет из автозагрузки файл «%startup%winipc32.hta» и прописывает в файл «%windir%wininit.ini» свой автозапуск — «%windir%server.exe».

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить следующий файл:
```
%windir%server.exe
```
Удалить ключ реестра:
```
[HKCRhtafile]
NeverShowExt = ""
```
Изменить значение ключа реестра следующим образом:
```
[HKCRhtafileDefaultIcon]
(Default) = "%SystemRoot%system32mshta.exe,1"
```
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Узнай статистику распространения угроз в твоем регионе

Класс	Trojan-Dropper
Платформа	VBS
Описание	Technical Details Троянец, созданный для скрытой установки в систему других вредоносных программ. Написан на Visual Basic Script. Имеет размер 10796 байт. Payload При запуске вирус распаковывает и запускает на исполнение следующий файл: %windir%server.exe — имеет размер 16384 байта, детектируется Антивирусом Касперского как Backdoor.Win32.Asylum.013 Троян делает расширение HTA-файлов невидимым и заменяет иконку, при помощи которой они отображаются, на значок «Сетевое окружение» — путем изменения значений реестра: [HKCRhtafile] NeverShowExt = «» [HKCRhtafileDefaultIcon] («Default») = «SHELL32.DLL,17» Также троянская программа удаляет из автозагрузки файл «%startup%winipc32.hta» и прописывает в файл «%windir%wininit.ini» свой автозапуск — «%windir%server.exe». Removal instructions Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер). Удалить следующий файл: %windir%server.exe Удалить ключ реестра: [HKCRhtafile] NeverShowExt = "" Изменить значение ключа реестра следующим образом: [HKCRhtafileDefaultIcon] (Default) = "%SystemRoot%system32mshta.exe,1" Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
	Узнай статистику распространения угроз в твоем регионе

Trojan-Dropper.VBS.Asylum

Technical Details

Payload

Removal instructions