Trojan-Downloader. VBS.Iwill.e

Троянская программа-загрузчик. Представляет собой HTML-страницу со скриптом, написанным на языке VBS. Содержится в веб-страницах. Размер исполняемого кода — около 2,1 КБ.

Деструктивная активность

При открытии зараженной веб-страницы троянец с помощью запросов Winmgmt ищет и пытается завершить процессы со следующими именами:

  alg.exe
  avpcc.exe
  avpm.exe
  DRWEB32.EXE
  OUTPOST.EXE
  

После чего троянец, используя ActiveXObject «Microsoft.XMLHTTP», скачивает файл http://www.powerdebitcard.com/***/1.jpg и сохраняет его в файл Media32.exe, который после сохранения запускается на исполнение.

В различных версиях данного троянца ссылки на скачиваемые файлы могут варьироваться.

На момент создания описания зараженные ссылки не работали.