Trojan-Downloader.VBS. Agent.aah

Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Программа является сценарием языка Visual Basic Script. Имеет размер 3252 байта.

name="doc3">

Деструктивная активность

После запуска троянец создает каталог:

<my_doc>\<rnd1>

Где:

<rnd1>

- произвольная последовательность букв латинского алфавита, например "VPAVQXCUUNGUFLTJSLNAU" или "CXHCXEKBBUOBMTA";

<my_doc>

- путь к каталогу "Мои документы" для текущего пользователя, который, троянец получает из ключа системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Shell Folders\Personal]

Далее троянец загружает файл со следующего URL адреса:

http://kak***now.info/PCDefenderSilentSetup.msi

На момент создания описания ссылка не работала.

Сохраняет загруженный файл в созданном каталоге под именем:

<my_doc>\<rnd1>\<rnd2>

Где <rnd2> - произвольная последовательность букв латинского алфавита, например "YSCXTAFWWQJWIO" или "QKUPLSXOOIBOAGNEMFH";

После этого троянец проверяет, включен ли UAC из ключа реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\
Policies\System\EnableLUA]

И если он выключен, то троянец выполняет установку скачанного файла в тихом режиме, без взаимодействия с пользователем, в противном случае пытается запустить на выполнение с повышением привилегий.

Для автоматического удаления каталога со скачанным файлом троянец создает запись в системном реестре, которая будет выполнена при следующем старте системы:

[HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"delpcdefmsi"="cmd /c rmdir /s /q <my_doc>\<rnd1>"