Троянская программа, предназначенная для создания других троянцев, похищающих пароли.
Деструктивная активность
При запуске троянец отображает на экране свое главное окно.
В этом окне в поле ввода необходимо указать адрес для отправки отчетов троянца. При нажатии на левую кнопку конструктор спросит пользователя, под каким именем следует сохранить сгенерированный вирус, после чего создаст троянца и запишет в него введенный адрес электронной почты.
Размер созданного файла — 32968 байт. Упакован с помощью UPX, распакованный размер — около 70 КБ.
При запуске данный файл копирует себя в корневой каталог Windows под различными именами (с расширением .exe) и добавляет ссылку на скопированный файл в параметр ключа автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe <имя исполняемого файла трояна>"
Троянская программа сканирует существующие в системе окна и ищет в них поля для ввода паролей. Если находит, похищает введенный в них текст.
Также троян собирает краткую информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.
Собранные данные хранятся в файле отчета:
%WinDir%\userfile.dll
Содержимое данного файла периодически отсылает на заложенный внутрь с помощью конструктора адрес электронной почты.
Другие названия
Trojan-PSW.Win32.Fente.15 («Лаборатория Касперского») также известен как: Trojan.PSW.Fente.15 («Лаборатория Касперского»), PWS-Fantast.d (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.15 (Doctor Web), W32/Fanta-B (Sophos), Win32/Fanta.1_5@mm (RAV), TROJ_FANTA.A (Trend Micro), W32/Fanta.A (FRISK), Win32:Trojan-gen. (ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.5.A@mm (SOFTWIN), Trojan Horse (Panda), Win32/Fanta.15 (Eset)
Разбираем кейсы, делимся опытом, учимся на чужих ошибках