Так вот, бразильские вирусы -- тоже уникальные, свои. Столкнулся вчера в первый раз. Заражение происходит в две стадии -- ехешник распаковывает другой ехешник, и выполняет его. Второй ехешник уже выполняет всю грязную работу -- создаёт скрытый процесс, создаёт сервер, слушающий на порту 49164, и перехватывает весь интернет траффик, пропуская его через себя. При заходе на вебсайты бразильских банков -- резко активируется, раз в секунду посылая трафик на свой центр управления. Короче, имя пользователя и пароль он крадёт.
Первый ехешник отлавливается 4 из 57 существующих антивирусов. Второй ехешник не ловит ни один антивирус. Более того, virustotal, про попытке проанализировать этот файл валится наглухо -- "звыняйте, пане, что-то пошло не так".
Интересно тут что? Интересно тут то, насколько этот вирус эндемичен. Его интересует только бразильский траффик, и информацию он отсылает тоже на бразильский айпи адрес. Такое, вообще-то, случается редко. Если ты интернет-преступник, то ты стараешься в стране, где живёшь, не гадить. Потому что резко повышается вероятность прихода в гости пативэна от местных органов. Поэтому, например, шифровальщик Locky не заражает компьютеры, где установлена поддержка русского языка. Боятся, боятся они ФСБ. А тут, вишь, внаглую, в своей стране... удивительно.