Троянская программа-загрузчик. Представляет собой HTML-страницу со скриптом, написанным на языке VBS. Содержится в веб-страницах. Размер исполняемого кода — около 2,1 КБ.
Деструктивная активность
При открытии зараженной веб-страницы троянец с помощью запросов Winmgmt ищет и пытается завершить процессы со следующими именами:
alg.exe avpcc.exe avpm.exe DRWEB32.EXE OUTPOST.EXE
После чего троянец, используя ActiveXObject «Microsoft.XMLHTTP», скачивает файл http://www.powerdebitcard.com/***/1.jpg и сохраняет его в файл Media32.exe, который после сохранения запускается на исполнение.
В различных версиях данного троянца ссылки на скачиваемые файлы могут варьироваться.
На момент создания описания зараженные ссылки не работали.