обнаружил на корпоративных пк вот такие файлы: msigmv.exe VermaneTester.exe что это за ПО такое ? о нём рассказывают что оно позволяет собирать инфу с пк, какие заголовки окон, какие файлы на пк открываются. антивирус на него не реагирует. https://cloud.mail.ru/public/AmEk/xtPyuZiPE
А хотя бы одну машину пробовали изолировать и посмотреть исходящий траф? (куда и как стучится) Разработчик похоже "Legacy of the Spider Group. Technologies of Precursors Company".
Запрос ведет на сервер: \\shp385-1\d$\vermane\Log пк работают в домене. о данном сервере никто не рассказывает, что он делает и для чего.
Судя по конторе (чьим сертификатом подписан экзешник, если только не спиженный) она занимается маркетинговой аналитикой, соответственно её тулзы могут собирать много чего. Если реально нужно разбираться, то я бы делал следующее: 1. сделал копии тачек и сервака для дальнейшей "препарации" 2. Выяснил (по логам тачки, по времени создания фалов и т.п.) давно ли это стоит (одновременно на все тачки или нет и т.д.) 3. потом бы дернул админа, чтобы выяснить у него - он ставил или пользователи (за одно бы с пользователями поговорил, зачем им этот софт) 4. параллельно бы снифал траф сервака (вдруг там есть что-то интересное, ошибочки, отсутствие проверки передаваемых данных и т.д. ) P.S. один из действенных способов разобраться - это стопорнуть сервак и посмотреть, "кто прибежит" с криками "у меня не работает". По профилю деятельности конторы можно сразу понять, интересна ли она для "шпионажа" или нет (если нет, то тогда вряд ли это вирусня: потому что давняя дата залива 1-го семпла на вирустотал, мало инфы по нему в инете, "рядовые" бы так не заморачивались, а если контора "интересна" - то "могли заказать" и тогда совсем другой порядок действий по "расследованию").
