[Kaspersky обратите внимание, ваше ПО не детектит это]

@0xd000000, добрый день!

1. Пришел ответ из Вирлаба:

Этот файл уже детектируется компонентом нашего продукта: VHO:Trojan-PSW.Win32.Stelega.gen

Было добавлено дополнительное сигнатурное детектирование: Trojan-PSW.Win32.Coins.aaff

Оно будет включено в очередное обновление антивирусных баз.

В этом файле обнаружено новое вредоносное программное обеспечение:

AnonFileApi.dll__ - HEUR:Trojan.MSIL.Agent.gen Builder.exe_ - HEUR:HackTool.MSIL.Agent.gen Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

 

2. Касательно файла с расширением .exe.lnk:

его найти не удалось. Можете, пожалуйста, прислать его мне в ЛС в архиве с паролем infected ?

 

Нет, я все удалил. А билдить новый нет желания.

[Kaspersky обратите внимание, ваше ПО не детектит это]

ТП отмахнулась, а запрос в онлайн просить подтвердить почту, но как тогда я пишу, странно да?
Кратко. Есть стиллер StormKitty
https://github.com/LimerBoy/StormKitty
Тут лежит билдер. Сам stub детектит любой антивирус. Но после билда, на выходе получается C# приложение, которое сверху накрывается конфузером. И вот его уже не детектит ваш антивирус.
Сам софт после запуска делается себя невидимым и собирает данные (Data extraction - описание на GitHUB). Собранные данные хранит в %temp% (А именно Local). Далее с помощью API anonfile - все данные загружаются на облако и оттуда их можно уже скачать.
Ссылку на скачивание присылает Telegram бот. 
Скрин данных https://prnt.sc/vvb2as .

Так вот, просьба передать это нужным людям, потому что вам фиг сообщишь что-то в хорошем случае. А файл загрузить не получится, потому что нельзя ( еще странности, да?). Но на самом деле, сбилженый файл имеет расширение .exe.lnk а исходник искать не моя задача