Если мы заглянем внутрь архива, то найдем JS-файл с практически идентичным именем. Чтобы вредоносное ПО загрузилось и начало работу, пользователь должен дважды кликнуть по указанному файлу. После этого «wscript.exe» запустит JS-файл, который загрузит вредоносный файл с
mat.tradetoolsfx[.]com и запустит его. Сможем ли мы найти какие-нибудь следы этого на диске? Конечно!
Давайте посмотрим на prefetch-файл wscript.exe, фокусируясь на файлах, с которыми он взаимодействовал:
<…>
\VOLUME{01d3dcb4976cd072-3a97874f}\USERS\0136\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\OEJ87644\1C[1].JPG
\VOLUME{01d3dcb4976cd072-3a97874f}\USERS\0136\APPDATA\LOCAL\TEMP\7ZO84024637\ПОДРОБНОСТИ ЗАКАЗА.JS
<…>
Итак, у нас есть два интересных файла. Во-первых, теперь мы знаем имя JS-файла, который был в архиве, во-вторых, мы узнали имя файла, который он загрузил. Пора узнать, откуда он был загружен. Давайте снова заглянем в WebCache01.dat: