Рассказал коллега:
Позвонил клиент, попросил посмотреть, почему не загружается его компьютер.
Приезжаю, наблюдаю черный экран с сообщением об отсутствии системного
файла hal.dll.
Делаю откат системы, компьютер загружается, но тут же идет в перезагрузку. Загружаюсь в безопасном режиме, обнаруживаю в
автозагрузке файлик auto.bat с единственной строчкой в нем:
shutdown -r -f.
Время создания файлика - 13.10. А по словам клиента, она в начале
второго отлучилась и когда вернулась, увидела тот черный экран.
Спрашиваю: "А у вас в офисе шутники водятся?"
Отвечают, что сделать такое из своих никто не мог.
Продолжаю исследовать компьютер, обнаруживаю 2 программы для
удаленного управления компьютером - WinVNC и AnyPlaceControl.
Спрашиваю: "А есть ли у вас технический специалист, который удаленно администрирует ваши компьютеры?"
Отвечают, что такого нет.
Далее нахожу на компьютере программу Mipko Personal Monitor, которая
предназначена для слежения за действиями пользователя, записи нажатых клавиш и снимков экрана и передачи этой информации через Интернет.
Рассказываю про это все клиенту.
Глаза у них вылезают из орбит.
Они начинают вспоминать, что с начала апреля на личный мобильный телефон бухгалтера стали поступать странные звонки. То представятся Северо-Западным Телекомом, извинятся за проблемы с интернетом и
предложат для их устранения воспользоваться файликом, который они ей отправили по почте.
То представятся Налоговой инспекцией и сообщат, что выслали ей по
почте новую отчетность.
В общем эти программы я убрал.
На следующий день позвонила эта клиентка и сказала, что у них кто-то
поменял пароль на Банк-Клиент и пытался куда-то перевести 900 тыс.
руб, но банк не пропустил.
Posted via mobilebloger