= test.au3
== especimen
  * encontrado en Minerva
  * keylogger
  * data mining
  * oculta su presencia en el explorador de tareas (usar alternativa - herramientas)
  * posible punto de entrada: USB con fichero **Archivos.lnk** y **explorer.vbe**
    * parece que mueve el contenido del USB a una carpeta **usbdata** oculta y permite el acceso a esa carpeta a través del link que monta en la raiz, que evidentemente ejecuta el .vbe
  * Antivirus Windows, Avira, Malware Bytes, Clam no lo detectan como malicioso

== localización física
  * HKCU/Microsoft/Windows/CurrentVersion/Run
  * carpeta inicio: ''shell:startup'' -> **c:\users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup**
  * carpeta oculta: **c:\<NOMBRE_EQUIPO>**
  * carpeta oculta: **c:\programData\<sha1>**
  * carpeta oculta: (capturas log + mining): **c:\users\<user>\appData\Roaming\<sha1>**

== herramientas
  * [[https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer|Process Explorer]], Sysinternals
  * [[https://cmder.net|cmder]], CMD mejorado, portable
  * [[https://www.nodesoft.com/foldermonitor|foldermonitor]]: monitoriza cambios en un directorio y/o subdirectorios
  * DeskDrive, montar unidades USB en escritorio

== extirpación
  * eliminar procesos **systeminfo**, **vbc**, mirando previamente su ubicación
  * eliminar localizaciones físicas
  * eliminar claves registro (buscar **test.au3**)