is.serdyuk
23.07.2013, 10:20
Доброго времени суток!
Возникла такая проблема: недавно пришло письмо на почту от якобы нашего клиента с предложением о сотрудничестве. В письме была ссылка для скачивания архива с exe-ником внутри (якобы с описанием о сотрудничестве). Мой директор скачал его и запустил, но ничего не произошло. Тогда он заподозрил, что письмо не является подлинным и связался с этой фирмой, они сказали, что не посылали никаких писем и файлов. Мы передали этот файлик в их службу безопасности, но не думаю, что они чем-то нам помогут, поэтому сами решили как-то его проанализировать (что он сделал или пытался сделать).
На ПК Windows 7 Pro 64bit, установлен лицензионный антивирусник Касперский, с фаерволом (при запуске на него не заругался), брендмауэр отключен.
После был просканирован ПК этим касперским - ничего не нашел. Затем просканирован dr. web cureit в безопасном режиме, нашел троян и модификацию файла hosts, все автоматом вылечил.
Я физически нахожусь не рядом с этим ПК, поэтому сейчас толком посмотреть на нем ничего не могу. Произошло это вчера вечером и сегодня на том ПК наверно будут сносить винду (на всякий пожарный случай, уж очень важная информация там). Хотелось бы как то узнать что он делает и откуда ноги растут.
Сам его скачал, но запускать его на своем компе как-то не охото. Пробовал декомпилировать его при помощи ida, получил тысячи умных строк на ассемблере (узучал его давно уже не помню), не разобрался. Сканил его Касперским, drweb cureit, avz все говорят, что все ок.
Выслушаю любые идеи по этому поводу! Может чем еще можно его поковырять или есть кто хорошо ориентируется в ассемблере. Любые советы. Это важно!
Сама ссылка (которая была в письме): [cut]
Добавить сам файлик не получилось, весит 4 МБ, можно скачать архив по ссылке выше.
Заранее благодарен.
Возникла такая проблема: недавно пришло письмо на почту от якобы нашего клиента с предложением о сотрудничестве. В письме была ссылка для скачивания архива с exe-ником внутри (якобы с описанием о сотрудничестве). Мой директор скачал его и запустил, но ничего не произошло. Тогда он заподозрил, что письмо не является подлинным и связался с этой фирмой, они сказали, что не посылали никаких писем и файлов. Мы передали этот файлик в их службу безопасности, но не думаю, что они чем-то нам помогут, поэтому сами решили как-то его проанализировать (что он сделал или пытался сделать).
На ПК Windows 7 Pro 64bit, установлен лицензионный антивирусник Касперский, с фаерволом (при запуске на него не заругался), брендмауэр отключен.
После был просканирован ПК этим касперским - ничего не нашел. Затем просканирован dr. web cureit в безопасном режиме, нашел троян и модификацию файла hosts, все автоматом вылечил.
Я физически нахожусь не рядом с этим ПК, поэтому сейчас толком посмотреть на нем ничего не могу. Произошло это вчера вечером и сегодня на том ПК наверно будут сносить винду (на всякий пожарный случай, уж очень важная информация там). Хотелось бы как то узнать что он делает и откуда ноги растут.
Сам его скачал, но запускать его на своем компе как-то не охото. Пробовал декомпилировать его при помощи ida, получил тысячи умных строк на ассемблере (узучал его давно уже не помню), не разобрался. Сканил его Касперским, drweb cureit, avz все говорят, что все ок.
Выслушаю любые идеи по этому поводу! Может чем еще можно его поковырять или есть кто хорошо ориентируется в ассемблере. Любые советы. Это важно!
Сама ссылка (которая была в письме): [cut]
Добавить сам файлик не получилось, весит 4 МБ, можно скачать архив по ссылке выше.
Заранее благодарен.