Троянская программа-загрузчик. Представляет собой HTML-страницу со скриптом, написанным на языке VBS. Содержится в веб-страницах. Размер исполняемого кода — около 1,3 КБ.
Деструктивная активность
При открытии зараженной страницы троянец, используя ActiveXObject «Microsoft.XMLHTTP», скачивает файл http://ip3e83566f.speed.planet.***/1.exe и сохраняет его в файл C:\Program Files\Windows Media Player\wmplayer.exe, заменяя оригинальный файл. После чего загруженный файл запускается на исполнение.
В различных версиях данного троянца ссылки на скачиваемые файлы могут варьироваться.
На момент создания описания зараженные ссылки не работали.
Другие названия
Trojan-Downloader.VBS.Iwill.c («Лаборатория Касперского») также известен как: TrojanDownloader.VBS.Iwill.c («Лаборатория Касперского»), VBS/Psyme (McAfee), Download.Trojan (Symantec), Troj/Psyme-Fam (Sophos), VBS/Petch.A@dl (FRISK), VBS:Malware (ALWIL), JS/Psyme (Grisoft), Exploit.ADODB.Stream.Gen (SOFTWIN), VBS/Psyme.C (Panda), VBS/Psyme.A (Eset)
Разбираем кейсы, делимся опытом, учимся на чужих ошибках