Буквально недавно разбирал инцидент с данным типом набора ПО.
Друзья, вы забыли упомянуть следующее:
1. ПО «Yandex Punt» используется как «легитимный» кейллогер — режим «Вести дневник»;
2. Мошенники используют mbrkiller.exe для зачистки partition table. Один из способов противодействия компьютерной криминалистике;
3. Только файл «Счет № 522375-ФЛОРЛ-14-115.doc» содержит exploit CVE-2012-0158, а «kontrakt87.doc» текстовка, которая будет отображаться на экране пользователя.
Возможно, есть различия в функциональных особенностях вашего сэмпла, но на всякий случай хеш-сумма моего сэмпла — 43d958cf82972805bd6bae8b62049a96
Когда ребята из #BuhTrap случайно спалились в логах Punto Switcher)
Друзья, вы забыли упомянуть следующее:
1. ПО «Yandex Punt» используется как «легитимный» кейллогер — режим «Вести дневник»;
2. Мошенники используют mbrkiller.exe для зачистки partition table. Один из способов противодействия компьютерной криминалистике;
3. Только файл «Счет № 522375-ФЛОРЛ-14-115.doc» содержит exploit CVE-2012-0158, а «kontrakt87.doc» текстовка, которая будет отображаться на экране пользователя.
Возможно, есть различия в функциональных особенностях вашего сэмпла, но на всякий случай хеш-сумма моего сэмпла — 43d958cf82972805bd6bae8b62049a96