Trojan-Downloader.JS. Psyme.akc

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является файлом сценария языка Java Script. Имеет размер 2688 байт.

Деструктивная активность

После запуска троянец производит внедрение своего кода в память процесса, имеющего следующий уникальный идентификатор в системном реестре:

{BD96C556-65A3-11D0-983A-00C04FC29E36}

Используя уязвимость в ActiveX объекте "Microsoft.XMLHTTP", троянец загружает файл со следующего URL:

http://down*****.cn/down/ko.exe

Используя ActiveX компонент "ADODB.Stream", троянец сохраняет скачанный файл во временный каталог текущего пользователя Windows под именами "SVCH0ST.pif" и "SVCH0ST.vbs":

%Temp%\SVCH0ST.pif
%Temp%\SVCH0ST.vbs

При сохранении файлу "SVCH0ST.pif" устанавливается атрибут "Скрытый", также в этот файл дописывается несколько строк следующего текста:

'c_u_t_e_q_q_i_l_o_v_e_y_o_u

После успешного сохранения файлы запускаются на выполнение.

На момент создания описания указанная ссылка не работала.