Security Lab

Trojan-Downloader. VBS.Iwill.c

Trojan-Downloader. VBS.Iwill.c

Троянская программа-загрузчик. Представляет собой HTML-страницу со скриптом, написанным на языке VBS. Содержится в веб-страницах. Размер исполняемого кода — около 1,3 КБ.

Троянская программа-загрузчик. Представляет собой HTML-страницу со скриптом, написанным на языке VBS. Содержится в веб-страницах. Размер исполняемого кода — около 1,3 КБ.

Деструктивная активность

При открытии зараженной страницы троянец, используя ActiveXObject «Microsoft.XMLHTTP», скачивает файл http://ip3e83566f.speed.planet.***/1.exe и сохраняет его в файл C:\Program Files\Windows Media Player\wmplayer.exe, заменяя оригинальный файл. После чего загруженный файл запускается на исполнение.

В различных версиях данного троянца ссылки на скачиваемые файлы могут варьироваться.

На момент создания описания зараженные ссылки не работали.

Другие названия

Trojan-Downloader.VBS.Iwill.c («Лаборатория Касперского») также известен как: TrojanDownloader.VBS.Iwill.c («Лаборатория Касперского»), VBS/Psyme (McAfee), Download.Trojan (Symantec), Troj/Psyme-Fam (Sophos), VBS/Petch.A@dl (FRISK), VBS:Malware (ALWIL), JS/Psyme (Grisoft), Exploit.ADODB.Stream.Gen (SOFTWIN), VBS/Psyme.C (Panda), VBS/Psyme.A (Eset)

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!