Trojan-Downloader.VBS. Agent.ah

Троянская программа. Является html-страницей, содержащей сценарий языка Visual Basic Script. Имеет размер 2076 байт.

Деструктивная активность

После активации троянец производит расшифровку своего кода и проверяет, был ли он запущен с локального ресурса.

Если программа запущена с локального ресурса, то изменяются следующие значения параметров реестра для зоны Интернета «0»:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
"1201" = "0"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
"1201" = "0"

Таким образом, при последующих запусках веб-страниц со скриптами, создающими ActiveX-объекты для работы с файлами, предупреждения о попытке создания таких объектов не выводятся, и троянец начинает выполнение своих функций.

Программа производит рекурсивный поиск всех файлов с расширениями:

*.html
*.mp3
*.htt

в следующих каталогах:

%WinDir%\Web
%Desktop%
%MyDocuments%

В начало всех найденных файлов троянец дописывает свое тело.