So, konnts nicht lassen, war mal schauen...und IDA Disassembler sagt "Please use 64 bit to load AMD 64 files"
kriegs hier nicht Richtung ASM auf, kann also die API Schnittstelle nicht checken.
Aber das, was die mit Notepad geöffnete NlsDatb000f.exe zeigt, sind Strings, die ein Schädling meiner
Meinung nach vermeiden sollte...um getarnt zu bleiben.
" unable to open console device " etc würden ja stutzig machen.
Konnte auch mit Onlinescanner nichts verdächtiges finden.
Weiter unten finde ich dann " InternetCrackUrl " .....vieleicht weisst du mehr damit anzufangen...
Die Datei ist 104 KB gross.
Für standalone zu klein, finde ich.
Vermutlicherweise passt sie zu irgendeinem installierten Programm, was online irgendeinen Auftrag hat.
Insgesammt sieht die Datei aber eher ungefährlich aus.
Mein erster Eindruck.
Aber nach der Arbeit versuche ich nochmal, die API zu fassen zu kriegen, falls die überhaupt benutzt wird.
Bis später dann...Gruss
