{"id":304520,"date":"2020-05-29T15:00:53","date_gmt":"2020-05-29T15:00:53","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=304520"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=304520","title":{"rendered":"\u0411\u0443\u0434\u043d\u0438 Tinkoff Security Operations Center: \u0410\u043d\u0430\u043b\u0438\u0437 \u043e\u0434\u043d\u043e\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0430"},"content":{"rendered":"\n<div class=\"post__text post__text-html post__text_v1\" id=\"post-content-body\" data-io-article-url=\"https:\/\/habr.com\/ru\/company\/tinkoff\/blog\/504430\/\">\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440!<\/p>\n<p>  \u0412 \u043d\u0430\u0448\u0435\u043c Tinkoff Security Operation Center \u043c\u044b \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u043c\u0441\u044f \u0440\u0430\u0437\u0431\u043e\u0440\u043e\u043c \u0442\u0435\u0445\u043d\u0438\u043a, \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u043c\u044b\u0445 \u0432\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u043c \u041f\u041e \u0438 \u0430\u0442\u0430\u043a\u0430\u0445, \u0438 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043d\u0430\u043c \u043f\u043e\u043f\u0430\u043b\u0441\u044f \u043e\u0434\u0438\u043d \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c \u0431\u044b \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u0442\u044c.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/wj\/u9\/yk\/wju9ykf2tcl0k7ab3xohfmoilge.png\" alt=\"image\"><br \/>  <a name=\"habracut\"><\/a> <br \/>  \u0422\u0435\u0445\u043d\u0438\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043f\u0440\u0438\u043c\u0435\u043d\u0438\u043b\u0438 \u0434\u043b\u044f \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u044d\u0442\u043e\u0433\u043e \u0448\u0435\u0434\u0435\u0432\u0440\u0430, \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0430 \u0443\u0436\u0435 \u0431\u043e\u043b\u0435\u0435 20 \u043b\u0435\u0442, \u043d\u043e \u0434\u0430\u0436\u0435 \u0441\u043f\u0443\u0441\u0442\u044f \u0434\u0435\u0441\u044f\u0442\u0438\u043b\u0435\u0442\u0438\u044f \u043e\u043d\u0430 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439, \u043f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0432\u044b\u0437\u043e\u0432\u044b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a \u0432 \u043c\u0430\u043a\u0440\u043e\u0441\u0435 \u043d\u0435 \u044f\u0432\u043b\u044f\u044e\u0442\u0441\u044f \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u043c\u0438 \u0438 \u043c\u043e\u0433\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u0445 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0445. \u0420\u0435\u0447\u044c \u0438\u0434\u0435\u0442 \u043e \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u0435 \u0437\u043b\u043e\u0432\u0440\u0435\u0434\u0430, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430\u043f\u0438\u0441\u0430\u043d \u043d\u0430 Excel 4.0 macros.<\/p>\n<h3>\u0418\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0439<\/h3>\n<p>  \u0412 \u0440\u0430\u043c\u043a\u0430\u0445 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043c\u044b \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u043f\u043e \u043c\u0438\u043d\u0438\u043c\u0443\u043c\u0443 \u0438 \u043e\u0431\u043e\u0439\u0434\u0435\u043c\u0441\u044f \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u043c \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c:<\/p>\n<ul>\n<li>\u043f\u0430\u043a\u0435\u0442 Microsoft Office;<\/li>\n<li>\u0430\u0440\u0445\u0438\u0432\u0430\u0442\u043e\u0440;<\/li>\n<li>\u0442\u0435\u043a\u0441\u0442\u043e\u0432\u044b\u0439 \u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440;<\/li>\n<li>\u043a\u0430\u043a \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u041f\u041e \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c Sysmon;<\/li>\n<li>\u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u0441\u0440\u0435\u0434\u044b \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c VM \u0441 Windows 7 \u043d\u0430 \u0431\u043e\u0440\u0442\u0443<\/li>\n<\/ul>\n<p>  <\/p>\n<h3>\u041c\u043d\u043e\u0433\u0430\u0431\u0443\u043a\u0430\u0444<\/h3>\n<p>  \u0414\u043e\u043a\u0443\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0431\u0443\u0434\u0435\u043c \u0440\u0430\u0437\u0431\u0438\u0440\u0430\u0442\u044c, \u2014 \u043a\u043d\u0438\u0433\u0430 Excel \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 xls. \u0412\u0440\u0435\u0434\u043e\u043d\u043e\u0441 \u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u0444\u0438\u0448\u0438\u043d\u0433\u043e\u0432\u044b\u0445 \u043f\u0438\u0441\u044c\u043c\u0430\u0445, \u043f\u0440\u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u043c\u0430\u043a\u0440\u043e\u0441 \u0432\u044b\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0432\u0435\u0442\u043a\u0443 \u0440\u0435\u0435\u0441\u0442\u0440\u0430, \u0441\u043a\u0430\u0447\u0438\u0432\u0430\u0435\u0442 \u0441 \u0441\u0430\u0439\u0442\u0430 Microsoft \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f\u0445 Office, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0435\u0442 \u0438 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0443\u044e .dll. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u0438\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u043a\u043d\u0438\u0433\u0430 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0431\u0435\u0437 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439.<\/p>\n<p>  \u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0437\u0430\u0433\u0440\u0443\u0437\u0447\u0438\u043a\u043e\u0432 \u044d\u0442\u043e\u0433\u043e \u0442\u0438\u043f\u0430 \u2014 \u043e\u043d \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u043c\u0430\u043a\u0440\u043e\u0441\u044b VBA.<\/p>\n<h3>\u0421\u0442\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437<\/h3>\n<p>  \u041d\u0438\u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d \u043f\u0440\u0438\u043c\u0435\u0440 \u043f\u0438\u0441\u044c\u043c\u0430, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u0439 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/pn\/sf\/hl\/pnsfhllpvob_d_b7sop7ljyv7jq.png\"><\/p>\n<p>  \u041e\u0442\u043a\u0440\u043e\u0435\u043c \u0432\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0432 \u043d\u0430\u0448\u0435\u0439 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435.<\/p>\n<p>  \u0421\u0440\u0430\u0437\u0443 \u0441\u0442\u043e\u0438\u0442 \u043e\u0431\u0440\u0430\u0442\u0438\u0442\u044c \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435: \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0430 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0430\u0435\u0442, \u0447\u0442\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u00ab\u0437\u0430\u0449\u0438\u0449\u0435\u043d\u00bb, \u0438 \u0441\u0442\u043e\u0438\u0442 \u0435\u0435 \u043e\u0442\u043a\u0440\u044b\u0442\u044c \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e \u0438 \u043d\u0430\u0436\u0430\u0442\u044c \u043d\u0430 \u00ab\u0432\u043a\u043b\u044e\u0447\u0438\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435\u00bb:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/sg\/mj\/eu\/sgmjeuardcvtcxqdvuf-wpk5ul0.png\"><\/p>\n<p>  \u041f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043d\u0430\u043c\u0435\u043a\u0430\u0435\u0442 \u043d\u0430 \u0442\u043e, \u0447\u0442\u043e \u043d\u0443\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u043f\u0440\u043e\u0435\u043a\u0442\u044b \u0432 \u0440\u0435\u0434\u0430\u043a\u0442\u043e\u0440\u0435 Visual Basic.<\/p>\n<p>  \u041f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u043c \u0432 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a \u2014 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u0430\u043c\u0438 (vbs), \u043d\u043e \u043d\u0435 \u0432\u0438\u0434\u0438\u043c \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432 vbs \u0438\u043b\u0438 vba:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/te\/jj\/pn\/tejjpn888lj2jfeoyj9snzxugos.png\"><\/p>\n<p>  \u0422\u0443\u0442 \u0441\u0430\u043c\u043e\u0435 \u0432\u0440\u0435\u043c\u044f \u0432\u0441\u043f\u043e\u043c\u043d\u0438\u0442\u044c, \u0447\u0442\u043e \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0441\u043e\u0431\u043e\u0439 \u043e\u0444\u0438\u0441\u043d\u044b\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u044b.<\/p>\n<p>  \u041a\u0430\u0436\u0434\u044b\u0439 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 Microsoft Office \u2014 \u044d\u0442\u043e \u0430\u0440\u0445\u0438\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u0430\u0442\u044c \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043b\u044e\u0431\u043e\u0433\u043e \u0430\u0440\u0445\u0438\u0432\u0430\u0442\u043e\u0440\u0430, \u0438\u0437\u0432\u043b\u0435\u043a\u0430\u044f \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/kf\/nj\/hg\/kfnjhgg1rmz7xffqsfm5w0plojk.png\"><\/p>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u0440\u0430\u0441\u043f\u0430\u043a\u043e\u0432\u043a\u0438 \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u0432\u043d\u0443\u0442\u0440\u0438 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043d\u0435\u0442 xml-\u0444\u0430\u0439\u043b\u043e\u0432, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u044b \u043f\u0440\u0438\u0432\u044b\u043a\u043b\u0438 \u0432\u0438\u0434\u0435\u0442\u044c, \u0434\u0435\u043b\u043e \u0432 \u0431\u043e\u043b\u0435\u0435 \u0441\u0442\u0430\u0440\u043e\u043c \u0444\u043e\u0440\u043c\u0430\u0442\u0435 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430 \u2014 xls.<\/p>\n<p>  \u0412 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0438 xls \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u0442\u0441\u044f \u043d\u0435 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 Office Open XML, \u0430 \u0432 \u0434\u0432\u043e\u0438\u0447\u043d\u043e\u043c \u0444\u043e\u0440\u043c\u0430\u0442\u0435 BIFF8. \u0412 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f Excel 4.0 macro, \u0433\u0434\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u044b \u043c\u043e\u0433\u0443\u0442 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0442\u044c\u0441\u044f \u0432 \u044f\u0447\u0435\u0439\u043a\u0430\u0445 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430.<\/p>\n<p>  \u0421\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u043b\u0438\u0441\u0442 \u0441 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u043c \u043d\u0435 \u0441\u043a\u0440\u044b\u0442, \u043d\u043e \u043d\u0430 \u043b\u0438\u0441\u0442\u0435 \u0431\u043e\u043b\u044c\u0448\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043f\u0443\u0441\u0442\u044b\u0445 \u044f\u0447\u0435\u0435\u043a, \u0447\u0442\u043e \u0437\u0430\u0442\u0440\u0443\u0434\u043d\u044f\u0435\u0442 \u0430\u043d\u0430\u043b\u0438\u0437.<\/p>\n<p>  \u0414\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u0444\u043e\u0440\u043c\u0430\u0442\u0435 BIFF8 \u0435\u0441\u0442\u044c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440 BiffViewer, \u0430 \u0434\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0433\u043e \u0435\u0441\u0442\u044c \u043e\u0442\u043b\u0438\u0447\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u2014 oletools. \u041d\u043e \u043c\u044b \u043f\u043e\u043f\u0440\u043e\u0431\u0443\u0435\u043c \u043e\u0431\u043e\u0439\u0442\u0438\u0441\u044c \u0431\u0435\u0437 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u0442\u043e\u0440\u043e\u043d\u043d\u0438\u0445 \u0443\u0442\u0438\u043b\u0438\u0442. <\/p>\n<p>  \u0423 Excel \u0442\u0430\u043a\u0436\u0435 \u0435\u0441\u0442\u044c \u0444\u043e\u0440\u043c\u0430\u0442, \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 <a href=\"https:\/\/ru.wikipedia.org\/wiki\/XML\">xml <\/a>, \u2014 <a href=\"https:\/\/en.wikipedia.org\/wiki\/Microsoft_Excel#Current_file_extensions\"> xlsm <\/a>, \u0432 \u043d\u0435\u043c \u043c\u043e\u0436\u043d\u043e \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0442\u044c \u043a\u043e\u0434 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432 VBA \u0438 \u043b\u0438\u0441\u0442\u044b \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432 Excel 4.0, \u0447\u0442\u043e \u043c\u044b \u0438 \u0441\u0434\u0435\u043b\u0430\u0435\u043c.<br \/>  \u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0444\u043e\u0440\u043c\u0430\u0442\u043e\u0432, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u0434\u043b\u044f Excel, \u2014 <a href=\"https:\/\/support.office.com\/ru-ru\/article\/%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D1%80%D0%B6%D0%B8%D0%B2%D0%B0%D0%B5%D0%BC%D1%8B%D0%B5-excel-%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D1%8B-%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2-0943ff2c-6014-4e8d-aaea-b83d51d46247%20excel-%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%82%D1%8B\">excel \u2014 \u0444\u043e\u0440\u043c\u0430\u0442\u044b<\/a>.<\/p>\n<p>  \u0421\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u043c \u043d\u0430\u0448 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442, \u0440\u0430\u0437\u0430\u0440\u0445\u0438\u0432\u0438\u0440\u0443\u0435\u043c:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/yg\/yu\/8b\/ygyu8bzhfi2qwajfjmekp3i5_ek.png\"><\/p>\n<p>  \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u0447\u0442\u043e \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b\u0430\u0445, \u043d\u0430\u0447\u043d\u0435\u043c \u0441 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 macrosheets \u0432 \u043f\u0430\u043f\u043a\u0435 xl \u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043c \u0444\u0430\u0439\u043b \u0441\u043e \u0432\u0441\u0435\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043d\u0430 \u043b\u0438\u0441\u0442\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u0430:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/rt\/9l\/tw\/rt9ltwvg6gyr0wipyuse7cootpe.png\"><\/p>\n<p>  \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c, \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0432\u0441\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0432 \u044f\u0447\u0435\u0439\u043a\u0430\u0445 \u043d\u0430 \u043b\u0438\u0441\u0442\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u0430. \u0421\u0430\u043c \u043c\u0430\u043a\u0440\u043e\u0441 \u043e\u0431\u0444\u0443\u0441\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d, \u044f\u0447\u0435\u0439\u043a\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0447\u0438\u0441\u043b\u043e\u0432\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0438 \u0444\u043e\u0440\u043c\u0443\u043b\u044b, \u043a\u043e\u043d\u0432\u0435\u0440\u0442\u0438\u0440\u0443\u044e\u0449\u0438\u0435 \u044d\u0442\u0438 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0432 \u043d\u043e\u0432\u044b\u0435 \u044f\u0447\u0435\u0439\u043a\u0438.<\/p>\n<p>  \u041d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0432 \u0434\u0430\u043d\u043d\u043e\u0439 \u0444\u043e\u0440\u043c\u0443\u043b\u0435 \u043f\u0440\u0435\u043e\u0431\u0440\u0430\u0437\u0443\u044e\u0442\u0441\u044f \u0447\u0438\u0441\u043b\u043e\u0432\u044b\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0432 \u0441\u0438\u043c\u0432\u043e\u043b\u044b, \u043a\u043e\u043d\u043a\u0430\u0442\u0435\u043d\u0438\u0440\u0443\u044e\u0442\u0441\u044f \u0438 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0432 \u044f\u0447\u0435\u0439\u043a\u0443 FK17653.<\/p>\n<div class=\"spoiler\" role=\"button\" tabindex=\"0\">                         <b class=\"spoiler_title\">\u0424\u043e\u0440\u043c\u0443\u043b\u0430 \u0432 excel<\/b>                         <\/p>\n<div class=\"spoiler_text\">FORMULA.FILL(CHAR(CV63675+HE4018)&amp;CHAR(DG27830+HE26544)&amp;CHAR(IA33205-EW25294)&amp;CHAR(X1216+BA26751)&amp;CHAR(X1216*ER27642)&amp;CHAR(EC50683*IA4491)&amp;CHAR(CV63675*CQ12674)&amp;CHAR(CV63675-IP35389)&amp;CHAR(DL61540+AP31398)&amp;CHAR(GB59870-IB5677)&amp;CHAR(X1216+DS45768)&amp;CHAR(GB59870+FV60781)&amp;CHAR(AA45534*S4000)&amp;CHAR(CV63675*FK10514)&amp;CHAR(EC50683\/GD6905)&amp;CHAR(GB59870+EM58732)&amp;CHAR(HQ31358-GI51882)&amp;CHAR(X1216+FX24913)&amp;CHAR(DL61540*EC63501)&amp;CHAR(HQ31358-IC62223)&amp;CHAR(X1216*BY50777)&amp;CHAR(X1216*FY64649)&amp;CHAR(G64471+DW7092)&amp;CHAR(HQ31358-B26139)&amp;CHAR(HQ31358\/I494)&amp;CHAR(G64471*DG37241)&amp;CHAR(DL61540-ES39934)&amp;CHAR(X1216+BX48975),FK17653)<\/div>\n<\/p><\/div>\n<p>  \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/rq\/ve\/xn\/rqvexng052dssxefthigngmj9nq.png\"><\/p>\n<p>  \u041a\u0430\u0436\u0434\u0430\u044f \u043f\u043e\u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u043c\u0430\u043a\u0440\u043e\u0441\u0430 \u00ab\u0441\u043e\u0431\u0438\u0440\u0430\u0435\u0442\u0441\u044f\u00bb \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e\u0439 \u0444\u043e\u0440\u043c\u0443\u043b\u043e\u0439, \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0432 \u044f\u0447\u0435\u0439\u043a\u0443 \u0438 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442\u0441\u044f.<\/p>\n<p>  \u0427\u0442\u043e\u0431\u044b \u043c\u0430\u043a\u0440\u043e\u0441 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u043b\u0441\u044f \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0440\u0438 \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430, \u044f\u0447\u0435\u0439\u043a\u0430, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0434\u043e\u043b\u0436\u0435\u043d \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c\u0441\u044f \u0441\u043a\u0440\u0438\u043f\u0442, \u0434\u043e\u043b\u0436\u043d\u0430 \u043d\u0430\u0437\u044b\u0432\u0430\u0442\u044c\u0441\u044f Auto_Open. \u0420\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0444\u0430\u0439\u043b workbook.xml:<\/p>\n<div class=\"spoiler\" role=\"button\" tabindex=\"0\">                         <b class=\"spoiler_title\">workbook.xml<\/b>                         <\/p>\n<div class=\"spoiler_text\">&lt;?xml version=\u00ab1.0\u00bb encoding=\u00abUTF-8\u00bb standalone=\u00abyes\u00bb?&gt;<br \/>  &lt;workbook xmlns=\u00ab<a href=\"http:\/\/schemas.openxmlformats.org\/spreadsheetml\/2006\/main\">schemas.openxmlformats.org\/spreadsheetml\/2006\/main<\/a>\u00bb xmlns:r=\u00ab<a href=\"http:\/\/schemas.openxmlformats.org\/officeDocument\/2006\/relationships\">schemas.openxmlformats.org\/officeDocument\/2006\/relationships<\/a>\u00bb xmlns:mc=\u00ab<a href=\"http:\/\/schemas.openxmlformats.org\/markup-compatibility\/2006\">schemas.openxmlformats.org\/markup-compatibility\/2006<\/a>\u00bb mc:Ignorable=\u00abx15\u00bb xmlns:x15=\u00ab<a href=\"http:\/\/schemas.microsoft.com\/office\/spreadsheetml\/2010\/11\/main\">schemas.microsoft.com\/office\/spreadsheetml\/2010\/11\/main<\/a>\u00bb&gt; appName=\u00abxl\u00bb lastEdited=\u00ab6\u00bb lowestEdited=\u00ab6\u00bb rupBuild=\u00ab14420\u00bb\/&gt;&lt;workbookPr\/&gt;&lt;mc:AlternateContent xmlns:mc=\u00ab<a href=\"http:\/\/schemas.openxmlformats.org\/markup-compatibility\/2006\">schemas.openxmlformats.org\/markup-compatibility\/2006<\/a>\u00bb&gt; Requires=\u00abx15\u00bb&gt;&lt;x15ac:absPath url=\u00abC:\\Users\\User\\Desktop\\malware\\\u00bb xmlns:x15ac=\u00ab<a href=\"http:\/\/schemas.microsoft.com\/office\/spreadsheetml\/2010\/11\/ac\">schemas.microsoft.com\/office\/spreadsheetml\/2010\/11\/ac<\/a>\u00bb\/&gt;&lt;\/mc:Choice&gt;&lt;\/mc:AlternateContent&gt;\/&gt;&lt;sheet name=\u00abSheet1\u00bb sheetId=\u00ab1\u00bb r:id=\u00abrId1\u00bb\/&gt;&lt;sheet name=\u00abSheet2\u00bb sheetId=\u00ab2\u00bb r:id=\u00abrId2\u00bb\/&gt;Sheet2!$IE$65406\/&gt;\/&gt;\/&gt;<\/div>\n<\/p><\/div>\n<p>  \u0412\u043d\u0443\u0442\u0440\u0438 \u0444\u0430\u0439\u043b\u0430 \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u0441\u0442\u0440\u043e\u043a\u0443 name=&quot;_xlnm.Auto_OpenT8nee&quot; hidden=\u00ab1\u00bb&gt;Sheet2!$IE$65406<br \/>  \u042d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u044f\u0447\u0435\u0439\u043a\u0430, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442\u0441\u044f \u043c\u0430\u043a\u0440\u043e\u0441, \u2014 IE65406, \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441\u043a\u0440\u044b\u0442\u043e\u0439. \u0422\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u0437\u043d\u0430\u0435\u043c \u0442\u043e\u0447\u043a\u0443 \u0432\u0445\u043e\u0434\u0430 \u0432 \u043c\u0430\u043a\u0440\u043e\u0441.<\/p>\n<h4>\u0414\u0438\u043d\u0430\u043c\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0430\u043d\u0430\u043b\u0438\u0437<\/h4>\n<p>  \u041d\u0438\u043a\u043e\u0433\u0434\u0430 \u043d\u0435 \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0439\u0442\u0435 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u043d\u0430 \u0441\u0432\u043e\u0435\u0439 \u043c\u0430\u0448\u0438\u043d\u0435. \u0414\u043b\u044f \u0438\u0437\u0443\u0447\u0435\u043d\u0438\u044f \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u043f\u043e\u0434\u043e\u0437\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u041f\u041e \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d\u043d\u0443\u044e \u0441\u0440\u0435\u0434\u0443: \u0440\u0430\u0437\u043b\u0438\u0447\u043d\u044b\u0435 \u043f\u0435\u0441\u043e\u0447\u043d\u0438\u0446\u044b \u0438\u043b\u0438 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d\u043d\u0443\u044e \u0438\u0437\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443 \u2014 \u0432\u0438\u0440\u0442\u0443\u0430\u043b\u044c\u043d\u0443\u044e \u043b\u0438\u0431\u043e \u0436\u0435\u043b\u0435\u0437\u043d\u0443\u044e.<\/p>\n<p>  \u041e\u0442\u043a\u0440\u043e\u0435\u043c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0438 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435. \u041c\u0435\u043b\u044c\u043a\u043d\u0435\u0442 \u043e\u043a\u043d\u043e \u043a\u043e\u043c\u0430\u043d\u0434\u043d\u043e\u0439 \u0441\u0442\u0440\u043e\u043a\u0438, \u0438 \u043a\u043d\u0438\u0433\u0430 \u0437\u0430\u043a\u0440\u043e\u0435\u0442\u0441\u044f.<br \/>  \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043b\u043e\u0433\u0438 Sysmon.<\/p>\n<p>  \u0423 Sysmon \u0435\u0441\u0442\u044c \u0441\u043e\u0431\u044b\u0442\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 (id 1), \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e \u043f\u0440\u043e Sysmon \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0442\u044c <a href=\"https:\/\/docs.microsoft.com\/en-us\/sysinternals\/downloads\/sysmon\"> \u0437\u0434\u0435\u0441\u044c<\/a>.<\/p>\n<p>  \u041f\u043e \u043b\u043e\u0433\u0430\u043c \u0432\u0438\u0434\u0438\u043c, \u0447\u0442\u043e \u043c\u0430\u043a\u0440\u043e\u0441 \u0441\u043e\u0437\u0434\u0430\u0435\u0442 \u0444\u0430\u0439\u043b\u044b \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 c:\\users\\public<\/p>\n<p>  \u041d\u0438\u0436\u0435 \u043f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u043b\u0435\u043d\u043e \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u0435 sysmon, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0432\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u0432\u044b\u0433\u0440\u0443\u0437\u043a\u0430 \u0432\u0435\u0442\u043a\u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0430 \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430 \u0432 \u0444\u0430\u0439\u043b:<\/p>\n<div class=\"spoiler\" role=\"button\" tabindex=\"0\">                         <b class=\"spoiler_title\">Sysmon Event event ID 1<\/b>                         <\/p>\n<div class=\"spoiler_text\">sysmon event id 1 <br \/>  Process Create:<br \/>  RuleName: technique_id=T1112,technique_name=Modify Registry<br \/>  ProcessGuid: {2a62482c-b244-5ecf-3a00-000000002700}<br \/>  ProcessId: 3268<br \/>  Image: C:\\Windows\\System32\\reg.exe<br \/>  FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)<br \/>  Description: Registry Console Tool<br \/>  Product: Microsoft Windows Operating System<br \/>  Company: Microsoft Corporation<br \/>  OriginalFileName: reg.exe<br \/>  CommandLine: \u00abC:\\Windows\\system32\\reg.exe\u00bb EXPORT HKCU\\Software\\Microsoft\\Office\\16.0\\Excel\\Security C:\\Users\\Public\\IcItdXw.reg \/y&quot;<br \/>  CurrentDirectory: C:\\Users\\user\\Documents\\<br \/>  User: user<br \/>  LogonGuid: {2a62482c-b1d8-5ecf-3284-010000000000}<br \/>  LogonId: 0x18432<br \/>  TerminalSessionId: 1<br \/>  IntegrityLevel: High<br \/>  Hashes: SHA1=8BD131B03D6BA865B228CA8EE3239D2EF2B90B74,MD5=D69A9ABBB0D795F21995C2F48C1EB560,SHA256=36414C7E57AFA6136D77FD47F4C55102E35F2475FBCD719728DA7D14B1590E2A,IMPHASH=BC564726CFF18A49EBC14784593A51CA<br \/>  ParentProcessGuid: {2a62482c-b23f-5ecf-3900-000000002700}<br \/>  ParentProcessId: 3164<br \/>  ParentImage: C:\\Program Files\\Microsoft Office\\Office16\\EXCEL.EXE<br \/>  ParentCommandLine: \u00abC:\\Program Files\\Microsoft Office\\Office16\\EXCEL.EXE\u00bb<\/div>\n<\/p><\/div>\n<p>  \u041f\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u0438 \u0440\u0430\u0431\u043e\u0442\u044b \u043c\u0430\u043a\u0440\u043e\u0441 \u0443\u0434\u0430\u043b\u044f\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b.<\/p>\n<p>  \u0427\u0442\u043e\u0431\u044b \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u0442\u044c \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435 \u0444\u0430\u0439\u043b\u043e\u0432, \u0438\u0437\u043c\u0435\u043d\u0438\u043c \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f \u043d\u0430 \u043f\u0430\u043f\u043a\u0443, \u043e\u0441\u0442\u0430\u0432\u0438\u043c \u043f\u0440\u0430\u0432\u0430 \u043d\u0430 \u0447\u0442\u0435\u043d\u0438\u0435 \u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0438 \u0437\u0430\u043f\u0440\u0435\u0442\u0438\u043c \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/lf\/1a\/go\/lf1agokzzhrg21juvd4ptxlv1os.png\"><\/p>\n<p>  \u0417\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0435\u0449\u0435 \u0440\u0430\u0437, \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u043e\u0448\u0438\u0431\u043a\u0443 \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043c\u0430\u043a\u0440\u043e\u0441\u0430, \u0447\u0442\u043e \u0434\u0430\u0441\u0442 \u043d\u0430\u043c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0441\u0442\u0438 \u0435\u0433\u043e \u043e\u0442\u043b\u0430\u0434\u043a\u0443.<\/p>\n<p>  \u042d\u0442\u043e \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0442\u0430\u043a \u043a\u0430\u043a \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0430 \u0438\u0441\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0439 \u0432 \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0432\u044b\u0437\u043e\u0432\u0430\u0445.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/0t\/ul\/u-\/0tulu-lqdvaiqqwvif3qgy7syjg.png\"><\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/rf\/jo\/em\/rfjoem_yjobjgq4qnakt80zglke.png\"><\/p>\n<p>  \u0417\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u043f\u043e\u0448\u0430\u0433\u043e\u0432\u043e\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u0430, \u0432\u043e \u0432\u0440\u0435\u043c\u044f \u0434\u0435\u0431\u0430\u0433\u0430 \u043d\u0430\u043c \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u044e\u0442\u0441\u044f \u0432\u044b\u0437\u043e\u0432\u044b \u0444\u0443\u043d\u043a\u0446\u0438\u0439 \u0438\u0437 dll-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a, \u0442\u0430\u043a\u0438\u0435 \u043a\u0430\u043a <a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/api\/shellapi\/nf-shellapi-shellexecutea\">ShellExecute<\/a> \u0438 <a href=\"https:\/\/docs.microsoft.com\/en-us\/previous-versions\/windows\/internet-explorer\/ie-developer\/platform-apis\/ms775123(v%3Dvs.85)\">URLDownloadToFile<\/a>. \u041f\u043e \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0438\u0438 \u043c\u0430\u043a\u0440\u043e\u0441\u0430 \u0432 \u043f\u0430\u043f\u043a\u0435 \u043e\u0431\u0449\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0431\u0443\u0434\u0443\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0444\u0430\u0439\u043b\u044b:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/dc\/aw\/bd\/dcawbdyabmgyj-qzjxcrvzqhpqi.png\"><\/p>\n<p>  \u0422\u0430\u043a \u043a\u0430\u043a \u043d\u0430\u043c \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u0430 \u044f\u0447\u0435\u0439\u043a\u0430, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043d\u0430\u0447\u0438\u043d\u0430\u0435\u0442\u0441\u044f \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435, \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0437\u0430\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u0432\u0441\u0435 \u044f\u0447\u0435\u0439\u043a\u0438 \u0432 \u043b\u0438\u0441\u0442\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u0430. \u041f\u0440\u043e\u0431\u0435\u0436\u0438\u043c\u0441\u044f \u043f\u043e \u043c\u0430\u043a\u0440\u043e\u0441\u0443 \u0434\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u0438 close(false), \u0433\u0434\u0435 \u043c\u044b \u043f\u0440\u0435\u0440\u0432\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435, \u043d\u0430\u0436\u0430\u0432 \u043a\u043d\u043e\u043f\u043a\u0443 \u00ab\u041f\u0430\u0443\u0437\u0430\u00bb.<\/p>\n<h3>\u042f\u0447\u0435\u0439\u043a\u0438 \u0441 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430\u043c\u0438 \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f<\/h3>\n<p>  \u041f\u0440\u043e\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u044f \u044f\u0447\u0435\u0439\u043a\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0437\u0430\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043c\u0430\u043a\u0440\u043e\u0441, \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u043c \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0444\u0443\u043d\u043a\u0446\u0438\u0439 get.window() \u0438 get.workspace()<\/p>\n<ul>\n<li>\u0424\u0443\u043d\u043a\u0446\u0438\u044f get.window() \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0442\u0435\u043a\u0443\u0449\u0435\u043c \u043e\u043a\u043d\u0435: \u0441\u0442\u0430\u0442\u0443\u0441, \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435 \u043e\u043a\u043d\u0430, \u0435\u0433\u043e \u0438\u043c\u044f, \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043e\u0442\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0438 \u0442. \u0434.<\/li>\n<li>\u0424\u0443\u043d\u043a\u0446\u0438\u044f get.workspace() \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0443\u0437\u043d\u0430\u0442\u044c \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0441\u0440\u0435\u0434\u0435, \u0432 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442.<\/li>\n<\/ul>\n<p>  \u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0432\u044b\u0437\u043e\u0432\u043e\u0432, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 Excel 4.0, \u043c\u043e\u0436\u043d\u043e \u043d\u0430\u0439\u0442\u0438 \u0432 \u0441\u0441\u044b\u043b\u043a\u0430\u0445.<\/p>\n<p>  \u0422\u0443\u0442 \u043d\u0443\u0436\u043d\u043e \u043e\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u044c\u0441\u044f \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435: \u043c\u044b \u0441 \u043a\u043e\u043b\u043b\u0435\u0433\u043e\u0439 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0438\u043b\u0438, \u0447\u0442\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u044d\u0442\u0438\u0445 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 \u0441\u0432\u044f\u0437\u0430\u043d\u044b \u0441 \u043f\u043e\u043f\u044b\u0442\u043a\u0430\u043c\u0438 \u043e\u0431\u0445\u043e\u0434\u0430 \u043f\u0435\u0441\u043e\u0447\u043d\u0438\u0446:<\/p>\n<ul>\n<li>get.winow(7) \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442, \u043d\u0435 \u0441\u043a\u0440\u044b\u0442\u043e \u043b\u0438 \u0442\u0435\u043a\u0443\u0449\u0435\u0435 \u043e\u043a\u043d\u043e. \u0412\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 true \u0438\u043b\u0438 false.<\/li>\n<li>get.windows(20) \u2014 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 true \u0432 \u0441\u043b\u0443\u0447\u0430\u0435, \u0435\u0441\u043b\u0438 \u043e\u043a\u043d\u043e \u0440\u0430\u0437\u0432\u0435\u0440\u043d\u0443\u0442\u043e \u043d\u0430 \u0432\u0435\u0441\u044c \u044d\u043a\u0440\u0430\u043d.<\/li>\n<li>get.windows(23) \u2014 \u043c\u043e\u0436\u0435\u0442 \u0432\u0435\u0440\u043d\u0443\u0442\u044c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 1, 2 \u0438 3.<\/li>\n<\/ul>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/getpro\/habr\/post_images\/d54\/afe\/028\/d54afe0281d24b5e34040af0122cd3d7.png\"><\/p>\n<p>  1 \u2014 restored<br \/>  2 \u2014 minimized<br \/>  3 \u2014 maximized<\/p>\n<p>  \u0422\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430, \u043e\u0442\u043a\u0440\u044b\u0442\u043e \u043b\u0438 \u0442\u0435\u043a\u0443\u0449\u0435\u0435 \u043e\u043a\u043d\u043e:<\/p>\n<p>  get.workspace(31) \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430, \u043e\u0442\u043b\u0430\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u043b\u0438 \u043c\u0430\u043a\u0440\u043e\u0441 \u043f\u043e \u0448\u0430\u0433\u0430\u043c.<br \/>  get.workspace(13) \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0448\u0438\u0440\u0438\u043d\u044b \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u0432 \u043f\u0438\u043a\u0441\u0435\u043b\u044f\u0445: \u0435\u0441\u043b\u0438 \u043c\u0435\u043d\u044c\u0448\u0435 770, \u0442\u043e \u043a\u043d\u0438\u0433\u0430 \u0437\u0430\u043a\u0440\u043e\u0435\u0442\u0441\u044f<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/dh\/zz\/w3\/dhzzw3m9vx-krc6nxgje-ken6x4.png\"><\/p>\n<p>  get.workspace(14) \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0432\u044b\u0441\u043e\u0442\u044b \u0440\u0430\u0431\u043e\u0447\u0435\u0439 \u043e\u0431\u043b\u0430\u0441\u0442\u0438 \u0432 \u043f\u0438\u043a\u0441\u0435\u043b\u044f\u0445: \u0435\u0441\u043b\u0438 \u043c\u0435\u043d\u044c\u0448\u0435 390, \u0442\u043e \u043a\u043d\u0438\u0433\u0430 \u0437\u0430\u043a\u0440\u043e\u0435\u0442\u0441\u044f<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/4b\/m5\/8l\/4bm58lswcaq-yi9xfjjinjc9ng0.png\"> <\/p>\n<p>  get.workspace(19) \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u044f \u043c\u044b\u0448\u0438.<br \/>  get.workspace(1) \u2014 \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442, \u0432 \u043a\u0430\u043a\u043e\u0439 \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442.<br \/>  \u0412 \u0441\u043b\u0443\u0447\u0430\u0435 false \u0432 \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0435 \u043f\u0440\u043e\u0438\u0441\u0445\u043e\u0434\u0438\u0442 \u043f\u0435\u0440\u0435\u0445\u043e\u0434 \u043d\u0430 \u044f\u0447\u0435\u0439\u043a\u0443 \u0437\u0430\u043a\u0440\u044b\u0442\u0438\u044f \u043a\u043d\u0438\u0433\u0438 \u0431\u0435\u0437 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u044f \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430.<\/p>\n<h3>\u0412\u044b\u0437\u043e\u0432\u044b \u0432\u043d\u0435\u0448\u043d\u0438\u0445 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a<\/h3>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u043e\u043a \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u043c \u043a \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c\u0443 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u0443. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c, \u043a\u0430\u043a \u0438\u0437 \u043c\u0430\u043a\u0440\u043e\u0441\u0430 \u0432\u044b\u0437\u044b\u0432\u0430\u044e\u0442\u0441\u044f WinAPI \u0444\u0443\u043d\u043a\u0446\u0438\u0438:<\/p>\n<p>  1. \u0412\u044b\u0437\u043e\u0432 reg.exe, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043c\u044b \u0432\u0438\u0434\u0435\u043b\u0438 \u0432 \u043b\u043e\u0433\u0430\u0445 Sysmon.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/gy\/vz\/lv\/gyvzlv4tfc9o4q0pmkplr9ea3eq.png\"><\/p>\n<p>  \u0414\u043b\u044f \u0432\u044b\u0437\u043e\u0432\u0430 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f ShellExecute \u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 shell32.dll, \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0434\u043b\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0440\u0430\u0437\u0431\u0440\u043e\u0441\u0430\u043d\u044b \u043f\u043e \u0434\u0440\u0443\u0433\u0438\u043c \u044f\u0447\u0435\u0439\u043a\u0430\u043c.<\/p>\n<p>  \u042f\u0447\u0435\u0439\u043a\u0430 BN16631:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/ug\/af\/vn\/ugafvnkenyfwp2iv2mqvml0kfl8.png\"><\/p>\n<p>  \u042f\u0447\u0435\u0439\u043a\u0430 A46097:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/qa\/wy\/f7\/qawyf7w4clfqocrpp4ixokeyzyc.png\"><\/p>\n<p>  \u0412 \u044f\u0447\u0435\u0439\u043a\u0435 GN47559 \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0430 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0439 \u0432\u0435\u0442\u043a\u0438 \u0440\u0435\u0435\u0441\u0442\u0440\u0430, Get.workspace(2) \u0432\u043e\u0437\u0432\u0440\u0430\u0449\u0430\u0435\u0442 \u0432\u0435\u0440\u0441\u0438\u044e Excel.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/s7\/_g\/w5\/s7_gw5jjgmgw32b9vxugtqxnxkw.png\"><\/p>\n<p>  \u0412 \u044f\u0447\u0435\u0439\u043a\u0435 DX48821 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442\u0441\u044f \u043f\u0443\u0442\u044c, \u043a\u0443\u0434\u0430 \u0437\u0430\u043f\u0438\u0448\u0435\u0442\u0441\u044f \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/wt\/i9\/-m\/wti9-myhidza4-8nm7xd_s3rkmg.png\"><\/p>\n<p>  \u0414\u0430\u043b\u0435\u0435 \u0432 \u043c\u0430\u043a\u0440\u043e\u0441\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u043d\u0430 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 IcltdXw.reg \u0438 \u0435\u0433\u043e \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u0435.<\/p>\n<p>  2. \u0412\u044b\u0437\u043e\u0432 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 URLDownloadToFile. \u0414\u0430\u043d\u043d\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0441\u043e\u0445\u0440\u0430\u043d\u044f\u0435\u0442 \u0432 \u0444\u0430\u0439\u043b \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 get-\u0437\u0430\u043f\u0440\u043e\u0441\u0430. <br \/>  \u0412\u044b\u0437\u043e\u0432 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/bu\/vn\/ye\/buvnyevcolwz4oofwcxygw1zbam.png\"><\/p>\n<p>  \u042d\u0442\u043e\u0442 \u0432\u044b\u0437\u043e\u0432 \u0432\u0435\u0434\u0435\u0442 \u043d\u0430\u0441 \u043d\u0430 \u0441\u0430\u0439\u0442 Microsoft, \u043d\u0430 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u0443 \u0441 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u043e\u0431 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f\u0445 Office.<\/p>\n<p>  \u041f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u0444\u0443\u043d\u043a\u0446\u0438\u0438:<\/p>\n<p>  \u042f\u0447\u0435\u0439\u043a\u0430 BR6547<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/yc\/s9\/ws\/ycs9wsggtysuw-zxwt_o0dt4r94.png\"><\/p>\n<p>  \u042f\u0447\u0435\u0439\u043a\u0430 IN49847<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/i2\/an\/lg\/i2anlg2ev8fwcc40tb-z9f2mzmi.png\"><\/p>\n<p>  \u041f\u043e\u0441\u043b\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438 \u0438\u0434\u0435\u0442 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430, \u0441\u043e\u0437\u0434\u0430\u043b\u0441\u044f \u043b\u0438 \u0444\u0430\u0439\u043b, \u0430 \u0442\u0430\u043a\u0436\u0435 \u0447\u0442\u0435\u043d\u0438\u0435 \u0441\u0438\u043c\u0432\u043e\u043b\u0430 \u043f\u043e \u0441\u043c\u0435\u0449\u0435\u043d\u0438\u044e \u0432 \u0444\u0430\u0439\u043b\u0435:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/ei\/by\/lc\/eibylc7t9nfpt1o9fpqqri2myzm.png\"><\/p>\n<p>  \u0421\u043a\u043e\u0440\u0435\u0435 \u0432\u0441\u0435\u0433\u043e, \u044d\u0442\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u043d\u0430\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u044b \u043d\u0430 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0443, \u0435\u0441\u0442\u044c \u043b\u0438 \u0443 \u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u044f, \u0433\u0434\u0435 \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442, \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442.<\/p>\n<p>  \u0412 \u0444\u043e\u0440\u043c\u0443\u043b\u0435 \u0432 iserror \u043f\u0435\u0440\u0435\u0434\u0430\u0435\u0442\u0441\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f FILES \u0438 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442 \u2014 \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430, \u043a\u0443\u0434\u0430 \u0434\u043e\u043b\u0436\u0435\u043d \u0437\u0430\u043f\u0438\u0441\u0430\u0442\u044c\u0441\u044f \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 URLDownloadToFile:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/_u\/rh\/x1\/_urhx1xm6fnl5wiaca1r1zojjba.png\"><\/p>\n<p>  \u042f\u0447\u0435\u0439\u043a\u0430 FM27223 \u043f\u0435\u0440\u0435\u0434\u0430\u0441\u0442 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 \u0437\u0430\u043a\u0440\u044b\u0442\u0438\u044f \u043a\u043d\u0438\u0433\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/f2\/fj\/ka\/f2fjkalfq8wvjhotj8xyb8td5-g.png\"><\/p>\n<p>  \u041f\u0440\u0438 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u043c \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0438 \u0444\u0430\u0439\u043b\u0430 \u043e\u0442 Microsoft \u0437\u0430\u043f\u043e\u043b\u043d\u044f\u044e\u0442\u0441\u044f \u044f\u0447\u0435\u0439\u043a\u0438 \u0434\u043b\u044f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043a\u0438 \u043a \u0432\u0442\u043e\u0440\u043e\u043c\u0443 \u0432\u044b\u0437\u043e\u0432\u0443 dll urlmon.<\/p>\n<h3>\u0417\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438<\/h3>\n<p>  \u0418 \u0432\u043e\u0442 \u0432\u0442\u043e\u0440\u043e\u0439 \u0432\u044b\u0437\u043e\u0432, \u043d\u043e \u0443\u0436\u0435 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d dehabadi[.]ir, \u0441 \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u0434\u043e\u043b\u0436\u043d\u0430 \u043f\u0440\u043e\u0438\u0437\u043e\u0439\u0442\u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0438:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/3f\/jx\/db\/3fjxdb9mshlwdu0y6xgnp0j_ena.png\"><\/p>\n<p>  \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0437\u0430\u043f\u0438\u0448\u0435\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b \u0432 \u044d\u0442\u0443 \u0436\u0435 \u043f\u0430\u043f\u043a\u0443 \u0441 \u0440\u0430\u0441\u0448\u0438\u0440\u0435\u043d\u0438\u0435\u043c html:<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/dh\/py\/vd\/dhpyvdog5thduid5qvxiuclpa6s.png\"><\/p>\n<p>  \u0414\u0430\u043b\u044c\u0448\u0435 \u043d\u0430\u0442\u044b\u043a\u0430\u0435\u043c\u0441\u044f \u043d\u0430 \u0432\u0435\u0442\u0432\u043b\u0435\u043d\u0438\u0435 \u0432 \u043a\u043e\u0434\u0435 \u043c\u0430\u043a\u0440\u043e\u0441\u0430, \u0435\u0441\u043b\u0438 \u0441 \u043f\u0435\u0440\u0432\u043e\u0439 \u043f\u043e\u043f\u044b\u0442\u043a\u0438 \u0441\u043a\u0430\u0447\u0430\u0442\u044c payload \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c, \u0431\u0443\u0434\u0435\u0442 \u043f\u0440\u0435\u0434\u043f\u0440\u0438\u043d\u044f\u0442\u0430 \u0432\u0442\u043e\u0440\u0430\u044f \u043f\u043e\u043f\u044b\u0442\u043a\u0430, \u043d\u043e \u0443\u0436\u0435 \u0441 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u0430\u0434\u0440\u0435\u0441\u0430.<\/p>\n<p>  \u0412 \u0441\u043b\u0443\u0447\u0430\u0435 \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u0439 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u0432\u044b\u0432\u0435\u0434\u0435\u0442\u0441\u044f \u0432\u0441\u043f\u043b\u044b\u0432\u0430\u044e\u0449\u0435\u0435 \u043e\u043a\u043d\u043e \u0441 \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435\u043c \u0438 \u0432\u044b\u0437\u043e\u0432\u0435\u0442\u0441\u044f \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u0430\u044f \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/uo\/dn\/gv\/uodngvrubmpjcf-zkckbqj5wm-e.png\"><\/p>\n<p>  \u041f\u043e\u043b\u043d\u044b\u0439 \u0432\u044b\u0437\u043e\u0432 \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n<pre><code class=\"plaintext\">=CALL(&quot;shell32&quot;,&quot;ShellExecuteA&quot;,&quot;JJCCJJ&quot;,0,&quot;open&quot;,&quot;c:\\windows\\systemc32\\rundll32.exe&quot;,&quot;c:\\users\\public\\4hcFC.html,DllRegisterServer&quot;,0,5) <\/code><\/pre>\n<p>  \u0412 \u043f\u043e\u043b\u043d\u043e\u043c \u0432\u044b\u0437\u043e\u0432\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u044f ShellExecuteA \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u0438\u0437 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 Shell32 \u0441 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430\u043c\u0438 \u0434\u043b\u044f \u0437\u0430\u043f\u0443\u0441\u043a\u0430 rundll32, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0432\u044b\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u044d\u043a\u0441\u043f\u043e\u0440\u0442\u0438\u0440\u0443\u0435\u043c\u0430\u044f \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0441\u043a\u0430\u0447\u0435\u043d\u043d\u043e\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0439 \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438.<\/p>\n<p>  \u041d\u0430 \u044d\u0442\u043e\u043c \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u043c\u0430\u043a\u0440\u043e\u0441\u0430 \u0437\u0430\u0432\u0435\u0440\u0448\u0435\u043d\u0430, \u043f\u043e\u043b\u0435\u0437\u043d\u0430\u044f \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0430 \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u0430 \u0438 \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u0430.<\/p>\n<h3>\u0417\u0430\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0435<\/h3>\n<p>  \u041a\u0430\u043a \u0431\u044b\u043b\u043e \u0441\u043a\u0430\u0437\u0430\u043d\u043e, \u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u044f \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0441\u0442\u0430\u0440\u0430\u044f (<a href=\"https:\/\/en.wikipedia.org\/wiki\/Microsoft_Excel#Excel_4.0_(1992)\">Excel 4.0 \u0434\u043b\u044f Windows 3.0 \u0438 3.1<\/a>), \u043e\u0434\u043d\u0430\u043a\u043e \u043e\u043d\u0430 \u0432 \u043f\u043e\u043b\u043d\u043e\u0439 \u043c\u0435\u0440\u0435 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b, \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u044b\u0439 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u043c\u0443 \u041f\u041e \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0438\u0436\u0435\u043d\u0438\u044f \u0441\u0432\u043e\u0438\u0445 \u0446\u0435\u043b\u0435\u0439. \u0410 \u0446\u0435\u043b\u044c \u044d\u0442\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 \u2014 \u043d\u0435\u0437\u0430\u043c\u0435\u0442\u043d\u043e \u043f\u043e\u0434\u043b\u043e\u0436\u0438\u0442\u044c \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0443 \u043e\u043f\u0430\u0441\u043d\u043e\u0435 \u041f\u041e, \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0435 \u043d\u0430\u043d\u0435\u0441\u0442\u0438 \u0441\u0435\u0440\u044c\u0435\u0437\u043d\u044b\u0439 \u0443\u0449\u0435\u0440\u0431, \u043d\u0430\u0447\u0438\u043d\u0430\u044f \u0441 \u043a\u0440\u0430\u0436\u0438 \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445, \u0434\u0430\u043d\u043d\u044b\u0445 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0434\u043b\u044f \u0441\u0438\u0441\u0442\u0435\u043c, \u0437\u0430\u043a\u0430\u043d\u0447\u0438\u0432\u0430\u044f \u043f\u043e\u0432\u0440\u0435\u0436\u0434\u0435\u043d\u0438\u0435\u043c\/\u0448\u0438\u0444\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0434\u0430\u043d\u043d\u044b\u0445 \u043d\u0430 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0435 \u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c\u044e \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043a\u043e\u0434.<\/p>\n<p>  \u0414\u043b\u044f \u0430\u043d\u0430\u043b\u0438\u0437\u0430 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0445 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0441\u043e\u0432\u0441\u0435\u043c \u043d\u0435 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a\u0438\u0435-\u043b\u0438\u0431\u043e \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u0438 \u041f\u041e, \u043e\u0434\u043d\u0430\u043a\u043e \u0441\u0442\u043e\u0438\u0442 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044c \u043d\u0430\u0431\u043e\u0440 \u0441\u043a\u0440\u0438\u043f\u0442\u043e\u0432 <a href=\"https:\/\/github.com\/decalage2\/oletools\">oletools \u2014 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0437\u0434\u0435\u0441\u044c<\/a>. \u041d\u0430 \u044d\u0442\u043e\u043c \u043c\u044b \u0437\u0430\u043a\u043e\u043d\u0447\u0438\u043c, \u043d\u0438\u0436\u0435 \u043f\u0440\u0438\u0432\u0435\u0434\u0435\u043d\u044b \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u044b \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438, \u0432\u044b\u044f\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0432 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0430\u043d\u0430\u043b\u0438\u0437\u0430.<\/p>\n<p>  <b>\u041f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0435 IOC:<\/b><\/p>\n<p>  evans[.]williamdmon[@]wp[.]pl<br \/>  eleventalents[.]com<br \/>  dehabadi[.]ir<br \/>  hxxps:\/\/eleventalents.com\/wp-keys.php<br \/>  hxxps:\/\/dehabadi.ir\/wp-keys.php<br \/>  de88d3774ae006d96121d9b45efbf1ee<br \/>  a73d1214740330013773cd733b0daf206eae2e03<br \/>  ba4adb640f777ad9b0881919e9bd1e171e64025d97a37fd585295ab611653419<\/p>\n<p>  <a href=\"https:\/\/pastebin.com\/KeC2SswU\">\u041f\u043e\u043b\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u043d\u0434\u0438\u043a\u0430\u0442\u043e\u0440\u043e\u0432 \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0430\u0446\u0438\u0438.<\/a><\/p>\n<p>  <b>\u0421\u0441\u044b\u043b\u043a\u0438:<\/b><\/p>\n<ul>\n<li><a href=\"https:\/\/d13ot9o61jdzpp.cloudfront.net\/files\/Excel%204.0%20Macro%20Functions%20Reference.pdf\"> \u0420\u0435\u0444\u0435\u0440\u0435\u043d\u0441 \u043c\u0430\u043a\u0440\u043e\u0441\u043e\u0432 4.0 <\/a> <\/li>\n<\/ul>\n<p>  \u041d\u0430\u0434 \u0430\u043d\u0430\u043b\u0438\u0437\u043e\u043c \u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0438:<\/p>\n<p>  <a href=\"https:\/\/habr.com\/ru\/users\/fil499\/\">\u0424\u0440\u043e\u043b\u043e\u0432 \u0418\u043b\u044c\u044f<\/a><br \/>  <a href=\"https:\/\/habr.com\/ru\/users\/kebugcheckex\/\">\u041a\u043e\u043b\u0435\u043d\u0447\u0443\u043a \u0410\u043b\u0435\u043a\u0441\u0435\u0439<\/a><\/div>\n<p> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/company\/tinkoff\/blog\/504430\/\"> https:\/\/habr.com\/ru\/company\/tinkoff\/blog\/504430\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"\n<div class=\"post__text post__text-html post__text_v1\" id=\"post-content-body\" data-io-article-url=\"https:\/\/habr.com\/ru\/company\/tinkoff\/blog\/504430\/\">\u041f\u0440\u0438\u0432\u0435\u0442, \u0425\u0430\u0431\u0440!<\/p>\n<p>  \u0412 \u043d\u0430\u0448\u0435\u043c Tinkoff Security Operation Center \u043c\u044b \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u043c\u0441\u044f \u0440\u0430\u0437\u0431\u043e\u0440\u043e\u043c \u0442\u0435\u0445\u043d\u0438\u043a, \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u043c\u044b\u0445 \u0432\u043e \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u043c \u041f\u041e \u0438 \u0430\u0442\u0430\u043a\u0430\u0445, \u0438 \u043d\u0435\u0434\u0430\u0432\u043d\u043e \u043d\u0430\u043c \u043f\u043e\u043f\u0430\u043b\u0441\u044f \u043e\u0434\u0438\u043d \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u0444\u0430\u0439\u043b, \u043e \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0445\u043e\u0442\u0435\u043b\u043e\u0441\u044c \u0431\u044b \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u0442\u044c.<\/p>\n<p>  <img decoding=\"async\" src=\"https:\/\/habrastorage.org\/webt\/wj\/u9\/yk\/wju9ykf2tcl0k7ab3xohfmoilge.png\" alt=\"image\">  <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-304520","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/304520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=304520"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/304520\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=304520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=304520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=304520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}