Trojan-Downloader.VBS.Phel.a
Trojan-Downloader.VBS.Phel.a является типичным скриптовым Trojan-Downloader.
Размер его всего 982 байта, содержащийся скрипт написан на языке vbscript. Скрипт сдвигает окно IE на координаты 2000,2000 (видимом, создатели полагали, что мониторов с таким разрешением не бывает) - это привидит к тому, что окно становится невидимо для пользователя.
Далее при помощи объекта msxml2.XMLHTTP производится загрузка "зверя" с сайта traffic2cash.biz и сохранение в файл с именем C:\1b3801af.exe. Затем сохраненный файл запускается при помощи WScript .Shell
Кроме скрытной загрузки и запуска файла VBS.Phel содержит код для создания Microsoft Office.hta в папке автозапуска. Этот код некорректен - он теоретически может сработать только для англоязычной Windows 2000/XP, установленной на диск C.