Trojan-PSW. Win32.Fente.14

Троянская программа, которая следит за клавиатурным вводом пользователя. Является приложением Windows (PE-EXE файл). Размер различных модификаций варьируется в пределах от 47 до 215 КБ. Упакована с помощью UPX.

Инсталляция

При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:

%WinDir%\dfhjl.exe 
%System%\IKMOQ.exe

Для автоматической загрузки при каждом последующем старте Windows вредоносная программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Shel" l= "Explorer.exe dfhjl.exe"
  
  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "msgserv_" = "%System%\IKMOQ.exe"

Также троянец задает следующие параметры в ключе реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"windows32_" = "%System32%\MOQSU.dll"
"system_" = "%System32%\IKMOQ.exe"
"userfile_" = "dfhjl.exe"

Деструктивная активность

Используя внешний компонент %System32%\MOQSU.dll, троянская программа устанавливает на клавиатурные события перехватчики, с помощью которых следит за вводом с клавиатуры в окнах, где работает пользователь.

Ещё троянец собирает информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.

Собранные данные отправляются на электронную почту злоумышленника.

Другие названия

Trojan-PSW.Win32.Fente.14 («Лаборатория Касперского») также известен как: Trojan.PSW.Fente.14 («Лаборатория Касперского»), PWS-Fantast.c (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.14 (Doctor Web), W32/Fanta-A (Sophos), Win32/Fanat.1_4@mm (RAV), TROJ_FANTAST.14 (Trend Micro), Win32:Trojan-gen. (ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.4.A@mm (SOFTWIN), Worm Generic (Panda), Win32/Fanta.C (Eset)