Троянская программа, которая следит за клавиатурным вводом пользователя.
Инсталляция
При запуске троянец копирует себя в системный и корневой каталоги Windows со следующими именами:
%WinDir%\dfhjl.exe
%System%\IKMOQ.exe
Для автоматической загрузки при каждом последующем старте Windows вредоносная программа добавляет ссылку на свои исполняемые файлы в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shel" l= "Explorer.exe dfhjl.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msgserv_" = "%System%\IKMOQ.exe"
Также троянец задает следующие параметры в ключе реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
"windows32_" = "%System32%\MOQSU.dll"
"system_" = "%System32%\IKMOQ.exe"
"userfile_" = "dfhjl.exe"
Деструктивная активность
Используя внешний компонент %System32%\MOQSU.dll, троянская программа устанавливает на клавиатурные события перехватчики, с помощью которых следит за вводом с клавиатуры в окнах, где работает пользователь.
Ещё троянец собирает информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.
Собранные данные отправляются на электронную почту злоумышленника.
Другие названия
Trojan-PSW.Win32.Fente.14 («Лаборатория Касперского») также известен как: Trojan.PSW.Fente.14 («Лаборатория Касперского»), PWS-Fantast.c (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.14 (Doctor Web), W32/Fanta-A (Sophos), Win32/Fanat.1_4@mm (RAV), TROJ_FANTAST.14 (Trend Micro), Win32:Trojan-gen. (ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.4.A@mm (SOFTWIN), Worm Generic (Panda), Win32/Fanta.C (Eset)
Лечим цифровую неграмотность без побочных эффектов