Trojan-PSW. Win32.Fantast.30

Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Имеет размер около 40 КБ. Ничем не упакована.

Инсталляция

При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:

  %WinDir%\winns.exe
  %System%\sys.exe

Для автоматической загрузки при каждом последующем старте Windows троянская программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shell" = "Explorer.exe winns.exe"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "msgserv16_" = "%System%\sys.exe"

Деструктивная активность

Используя внешний компонент %WinDir%\wins.dll, троянец устанавливает на клавиатурные события перехватчики, с помощью которых следит за данными, вводимыми с клавиатуры в окнах, где работает пользователь. Собранные данные помещаются в файл отчета:

  %WinDir%\userfile.dll

Туда же поступает краткая информация о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти, называние операционной системы.

Кроме того, троянец сканирует систему в поисках окон, предназначенных для ввода паролей, и похищает заносимый в них текст.

Похищенные сведения вредоносная программа отправляет на электронную почту злоумышленнику по адресу firewall****@21cn.com.

Другие названия

Trojan-PSW.Win32.Fantast.30 («Лаборатория Касперского») также известен как: Trojan.PSW.Fantast.30 («Лаборатория Касперского»), PWS-Fantast.a (McAfee), Backdoor.Trojan (Symantec), Win32.HLLM.Fantast.30 (Doctor Web), Troj/Fantast (Sophos), PWS:Win32/Fantast.3_0 (RAV), TROJ_FANTAST.30 (Trend Micro), TR/Fantast.30 (H+BEDV), Win32:Fantast-B (ALWIL), Trojan.PSW.Fantast.30 (SOFTWIN), Trojan Horse (Panda), Win32/PSW.Fantast.30 (Eset)