Здравствуйте, BlackEric, Вы писали:

Мы продолжим: вирус действительно на .Net, т. к. был встроен в .Net сборку ZvitPublishedObjects.dll. Вредоносный код не использовал запросы к сторонним серверам. В отличие от легитимного он лишь посылал собранные данные в куках на сервер M.E.Doc.

Подробнее:
1. Описание вируса: Win32/Diskcoder.C от ESET
2. Анализ бэкдора от них же: Analysis of TeleBots’ cunning backdoor

Мне вот только непонятно, как мог левый код попасть в сборку проекта? Никто не смотрел на содержимое системы контроля версий? Или хакнули билд сервер и пересобрали проект с другими исходниками?

P.S. Содержимое ссылок выше на русском: Представлен анализ атаки с использованием NotPetya