bosyi,
пока недостаточно информации, что это было. Мне кажется, заражённая машина на Windows, подключенная к точке интрасети (корпоративная локальная сеть с множеством точек) каким-то образом сумела найти подключенных клиентов и постучаться к ним в расшаренные папки, накидав туда файлов.
Другой вопрос, что у меня порты все подряд были открыты из-за ранее установленных сервисов. Это называется «помни о том, что установил» и «следи за тем, что запущено». Просто я систему если и переустанавливал, то без форматирования корня, видимо, пакеты подхватывались, типа удалённого управления столом.
Слишком много «видимо», поэтому о статье не может быть и речи, пока не разберёмся.