письма которые крадут миллионы

[gega]

на днях обратилась компания, увели почти два ляма  при проверки компов выяснил что одно и то же письмо пришло на два ящика открыли на одном пк, там стоял small office sekyritu, с запросом пароля на отключение, в письме был найден вирус, и на этом все. 

и пришло на второй ящик на ПК на котором клиент банк, там kaspersky internet sekyrity с просроченной лицензией и обновлениями и юзер с админскими правами, и когда я смотрел антивирус был приостановлен, как пользователь так и их админ утверждают что до письма антивирус был активен и выключился после письма.

письмо содержало вложение, вложение в виде картинки подставной на которой было нарисовано платежное поручение в пдф, и что на вирусы проверен.

при проверке ссылка с картинки ведет на github, от куда скачивается -КОПИЯ%20ПП%20№43.rar,    который распаковал себя на C:\PP

Внутри 

Punto svitcher- c настройкой вести журнал, тоесть как кей логгер

webbrowserpassview c конфиг файлом,

библиотеки и конфиг файлы

BIN_V4.exe  со значком PdF  при запуске которого открываеться реально платежка в браузере как пдф но помимо запускаются Heur: backdoor.win32/ra-based/gen

при этом в журнале антивируса есть угроза только на webbrowserpassview, но нет на BIN_V4.exe и все файлы на месте

[Sandor]

Здравствуйте!

 

Если нужно лечение, выполните Порядок оформления запроса о помощи.

 

Если вопрос в том, почему не сработал антивирус, обратитесь в тех-поддержку.