Анализ журналов Web-прокси показал огромное количество трафика (5Гб, 92% всего трафика данного пользователя за неделю) от одного пользователя на сайт 404.adatoms.com. Вот фрагмент лога:
10.xx.xxx.xxx - "-" [04/Aug/2008:14:32:43 +0400] "GET http://404.adatoms.com/?client=MyCentriaIB%26ver=1.8%26wmid=81%26scheme=MYC2%26uid=FU4BEZLWRR56W%26lt=1217849565%26url=http%3A%2F%2Fwww%2Esj4%2Eru%2Fcgi%2Dbin%2Fiframe%2Fntv%3F929351%26code=403 HTTP/1.1" 403 1735 340 "" "MyCentria72" "wa, it" 10 text/html" "default" 0.215 "-"
Подобных обращений прокси фиксировал несколько десятков в секунду. Обращения фиксировались не постоянно, а в виде некой активности, которая, по сложившемуся впечатлению, активизировалась в случайное время, что не позволило установить какое приложение является источником трафика.
Интернет-поиск не дал ничего, кроме этой публикации.
Примечательно, что после отработки антивируса активность прекратилась. Антивирус ( McAfee) успешно удалил файл с названием XPEHOMOP.exe, распознав его как New Malware.n (Trojan).
