sha1: ab8809c283ca6b950c0caf8a3cc69e8d270a1565
Загрузчик вредоносных программ, распространяющийся в виде документа Microsoft Word, вложенного в сообщения электронной почты. Документ содержит ложную информацию о том, что он зашифрован с использованием алгоритма RSA, и для просмотра текста пользователь должен включить макросы в настройках текстового редактора.
Документ также содержит якобы пустую страницу, на которой, тем не менее, находится полная версия письма, набранная шрифтом белого цвета, — этот текст отображается после включения пользователем макросов в настройках редактора. В это же время троянец загружает с удаленного сервера несколько фрагментов кода, и формирует из них файлы сценариев — в формате .BAT и .VBS для Microsoft Windows XP, а также дополнительный скрипт в формате .PS1 для Windows 7. Загрузчик сохраняет их на диск компьютера и запускает на исполнение. Сценарии, в свою очередь, скачивают с принадлежащего злоумышленникам сервера и запускают на атакуемом компьютере другой исполняемый файл в формате .EXE.
