Исследование целевой атаки на российского оператора грузовых железнодорожных перевозок

[maxwolf]

"При выявлении процессов антивирусов, виртуальных машин и отладчиков троян перезаписывает свой файл нулями и удаляет его вместе с папкой, в которой он хранился" - а на сколько такое поведение вообще распространено в трояно-вирусной среде? Имеет смысл "для профилактики" разложить в системе файлы с характерными именами, запустить с аналогичными именами процессы, и периодически записывать в log события? А все (вообще) процессы запускать с флагами "Debug" во всех полях...