Итак. Сначала мы ломимся на 80 порт, представляемся как винда, ну и т.д. Забираем айпишник.



Все запросы примерно одинаковые. Что получаем. А получаем вот такую замысловатую штуку, которую я не до конца понял засыпающим мозгом:



По крайней мере напрягает reset password, а еще какой-то sms token. До конца смысл трояна я не понял, по-моему, никуда ничего не отсылает, лишь что-то меняет. Хм.

Мелькнула сумасшедшая идея: а не отправляет ли он никакую смс-ку с данными?

UPD: Ломится еще сюда:

Больше ничего в логах сниффера не нашел (интересно, разве что, что он ломится в гугл, подставляет cookie, и делает какую-то не понятную вещь, которая вообще возвращает ошибку 302 ).

Странно, если данные отсылаются на айпишник, каким образом он их принимает?

Эх, вот это натупил. Завтра наверное ржать буду с этого

Вообщем-то, наверное, бояться ничего не нужно. Просто не качай этот левый файл. Мне кажется, он ориентирован на забугорных юзеров (сайты популярны в США и т.д, да еще перевод на странице вируса кривой).