Trojan-Dropper.VBS.Asylum

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Dropper

Предназначены для скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в их теле. Эти вредоносные программы обычно без каких-либо сообщений (или с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог windows, системный каталог windows, временный каталог и т.д.) другие файлы и запускают их на выполнение. Данные программы хакеры используют: • для скрытой инсталляции троянских программ и/или вирусов; • для защиты от детектирования известных вредоносных программ антивирусами, поскольку не все они в состоянии проверить все компоненты внутри подобных «троянцев».

Подробнее

Платформа: VBS

VBS (VBScript, Visual Basic Scripting Edition) – скриптовый язык программирования, созданный корпорацией Microsoft. Широко используется при создании скриптов в операционной системе Windows.

Описание

Technical Details

Троянец, созданный для скрытой установки в систему других вредоносных программ. Написан на Visual Basic Script. Имеет размер 10796 байт.

Payload

При запуске вирус распаковывает и запускает на исполнение следующий файл:

• %windir%server.exe — имеет размер 16384 байта, детектируется Антивирусом Касперского как Backdoor.Win32.Asylum.013

Троян делает расширение HTA-файлов невидимым и заменяет иконку, при помощи которой они отображаются, на значок «Сетевое окружение» — путем изменения значений реестра:

Также троянская программа удаляет из автозагрузки файл «%startup%winipc32.hta» и прописывает в файл «%windir%wininit.ini» свой автозапуск — «%windir%server.exe».

Removal instructions

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить следующий файл:

   %windir%server.exe

3. Удалить ключ реестра:

   [HKCRhtafile]
   NeverShowExt = ""

4. Изменить значение ключа реестра следующим образом:

   [HKCRhtafileDefaultIcon]
   (Default) = "%SystemRoot%system32mshta.exe,1"

5. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com