Троянская программа, которая следит за клавиатурным вводом пользователя.
Инсталляция
При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\winns.exe %System%\sys.exe
Для автоматической загрузки при каждом последующем старте Windows троянская программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe winns.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msgserv16_" = "%System%\sys.exe"
Деструктивная активность
Используя внешний компонент %WinDir%\wins.dll, троянец устанавливает на клавиатурные события перехватчики, с помощью которых следит за данными, вводимыми с клавиатуры в окнах, где работает пользователь. Собранные данные помещаются в файл отчета:
%WinDir%\userfile.dll
Туда же поступает краткая информация о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти, называние операционной системы.
Кроме того, троянец сканирует систему в поисках окон, предназначенных для ввода паролей, и похищает заносимый в них текст.
Похищенные сведения вредоносная программа отправляет на электронную почту злоумышленнику по адресу firewall****@21cn.com.
Другие названия
Trojan-PSW.Win32.Fantast.30 («Лаборатория Касперского») также известен как: Trojan.PSW.Fantast.30 («Лаборатория Касперского»), PWS-Fantast.a (McAfee), Backdoor.Trojan (Symantec), Win32.HLLM.Fantast.30 (Doctor Web), Troj/Fantast (Sophos), PWS:Win32/Fantast.3_0 (RAV), TROJ_FANTAST.30 (Trend Micro), TR/Fantast.30 (H+BEDV), Win32:Fantast-B (ALWIL), Trojan.PSW.Fantast.30 (SOFTWIN), Trojan Horse (Panda), Win32/PSW.Fantast.30 (Eset)
Разбираем кейсы, делимся опытом, учимся на чужих ошибках