Man kann ein VBScript, das ein ActiveX-Control (z. B. Scripting.FileSystemObject) auch in JavaScript umschreiben:

VBS:
Dim a
Set a = CreateObject ("Scripting.FileSystemObject")

-> JS
var a = new ActiveXObject ('Scripting.FileSystemObject')

Außerdem gibt es einen Microsoft Script Encoder, der Skripte verschlüsselt. Also sind folgende Dateiendungen "böse":

.VBS, .VBE, .JS, .JSE und natürlich .EXE, .COM, .BAT und .DOC, .DOT (!), XLS, ... (Office-Dateitypen)

Allgemein sollte man keiner Datei trauen, die .TXT.irgendwas heißt oder die auf .TXT endet, aber nicht das Notepad-Symbol zeigt. Man sollte übrigens im Explorer die Dateiendungen sichtbar machen, damit man auf solche Tricks reinfällt.