Log-Files, wiederhergestellt von einem der angegriffenen Server. Die Logs zeigen auf, wie die infizierten PCs „nach
Log-Files, wiederhergestellt von einem der angegriffenen Server. Die Logs zeigen auf, wie die infizierten PCs „nach Hause telefoniert“ haben. Die „THREAD_ID“ Zeile listet die Kampagnen-ID auf. Der „STATUS“ berichtet über den Stand der Infektion „Open“ meint das infizierte Dokument wurde geöffnet, „Load“ wiederum meint, dass die payload ausgeführt wurde und „susp“ meint, dass MWI davon ausgeht, dass die Verbindung nicht von einem aktuell infizierten PC aufgebaut wurde. ( Bild: Check Point Software )