Virus.VBS.XMLAsylum
Материал из Total Malware Info
Virus.VBS.XMLAsylum Вредоносная программа, изменяющая фоновый рисунок на "Рабочем столе" компьютера пользователя. Является html-страницей, содержащей сценарии языка Visual Basic Script. Имеет размер 3482 байта.
Деструктивная активность
При запуске вирус проверяет значение параметра "Coder" в ключе системного реестра:
[HKLM\Software\Asylum\Info]
Если значение параметра не равно "Ruzz`", тогда вредонос записывает следующую информацию в ключ системного реестра:
[HKLM\Software\Asylum\Info] "Coder" = "Ruzz`" "Group" = "The Shadow Virus Group" "Release" = "Asylum 1.0"
Далее вредонос проверяет значение параметра "Wallpaper" в ключе системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
Если значение данному параметру не присвоено, тогда вирус создает html-файл:
С:\Windows\Web\Wallpaper\Asylum.html
Данный файл вредонос устанавливает фоновым рисунком на "Рабочем столе" компьютера пользователя, записав следующую информацию в ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Desktop\General] "Wallpaper" = "C:\WINDOWS\WEB\Wallpaper\Asylum.html"
Если же значение параметру "Wallpaper" было присвоено, тогда вредонос записывает следующую информацию в ключ системного реестра:
[HKCU\Control Panel\Desktop] "Wallpaper" = "C:\Windows\Setup.bmp"
Если на компьютере установлено приложение MS Outlook, червь начинает рассылку письма на все контакты, найденные в адресной книге. Рассылаемое письмо имеет следующий вид: Тема письма:
Anti Virus Update Program
Текст письма:
If you have an Anti Virus program, NOW IS THE TIME TO UPGRADE! To do so, run the attached file. If you do not have an Anti Virus program, this file will install one for you! You have nothing to loose!
Вложенный файл:
%Temp%\VBS.XML.Asylum.VBS
После отправки вирус удаляет письмо из списка "Отправленных".
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить параметры в ключах системного реестра (как работать с реестром?):
- Удалить файл:
[HKLM\Software\Asylum\Info] "Coder" = "Ruzz`" "Group" = "The Shadow Virus Group" "Release" = "Asylum 1.0" [HKCU\Software\Microsoft\Internet Explorer\Desktop] "General\Wallpaper" = "C:\WINDOWS\WEB\Wallpaper\Asylum.html" [HKCU\Control Panel\Desktop] "Wallpaper" = "C:\Windows\Setup.bmp"
С:\Windows\Web\Wallpaper\Asylum.html
