Сообщения напрямую в скайп от логинов вида - "asjkldhkljh23lkjhasdf74893"
Дальше ссылка на файлообменик где зашифрованый архив. При скачивании и распаковке там папка с проектом. Проект вроде нормальный, НО требуется админские права для работы. Звоночек первый. Затем смотрим исходный код - всё нормально, программа выполняется норм, код соответствует описанию. Но при старте пишет в лог. А вот библиотека NLog не поддтягивается с нугета, а лежит рядом. И файл уж больно большой. Короче - библиотека сильно правленная и ставит в систему хитрого трояна. Который проверяет внешний адрес в торе, как я понимаю на команды и отправляет чего-то в закриптованном виде (или сжатом - не разбирался).Добрый вечер. Нашёл вас на freelansim.
Нам требуется программист для модификация C# программы
Пароль для архива - ролдфвралод
Мне повезло, что всё такое запускаю в чистой виртуалке и на хосте фидлер который показывает всю сетевую активность. Плюс напрягло, что запуск уж больно долгий и хард сразу начал дикую активность на чтение.
PS: Судя по procmon'у ищет сохраннёные логины-пароли и отправляет список папок-файлов на компе. Сама либа обфуцирована и разбираться лень в ней.