Trojan-PSW.Win32. Fente.15

Троянская программа, предназначенная для создания других троянцев, похищающих пароли. Является приложением Windows (PE-EXE файл). Имеет размер 460228 байт.

Деструктивная активность

При запуске троянец отображает на экране свое главное окно.

В этом окне в поле ввода необходимо указать адрес для отправки отчетов троянца. При нажатии на левую кнопку конструктор спросит пользователя, под каким именем следует сохранить сгенерированный вирус, после чего создаст троянца и запишет в него введенный адрес электронной почты.

Размер созданного файла — 32968 байт. Упакован с помощью UPX, распакованный размер — около 70 КБ.

При запуске данный файл копирует себя в корневой каталог Windows под различными именами (с расширением .exe) и добавляет ссылку на скопированный файл в параметр ключа автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe <имя исполняемого файла трояна>"

Троянская программа сканирует существующие в системе окна и ищет в них поля для ввода паролей. Если находит, похищает введенный в них текст.

Также троян собирает краткую информацию о системе: имя компьютера, имя работающего в данный момент пользователя, тип процессора, количество свободной памяти и название операционной системы.

Собранные данные хранятся в файле отчета:

%WinDir%\userfile.dll

Содержимое данного файла периодически отсылает на заложенный внутрь с помощью конструктора адрес электронной почты.

Другие названия

Trojan-PSW.Win32.Fente.15 («Лаборатория Касперского») также известен как: Trojan.PSW.Fente.15 («Лаборатория Касперского»), PWS-Fantast.d (McAfee), Hacktool.PWS.QQPass (Symantec), Win32.HLLM.Fantast.15 (Doctor Web), W32/Fanta-B (Sophos), Win32/Fanta.1_5@mm (RAV), TROJ_FANTA.A (Trend Micro), W32/Fanta.A (FRISK), Win32:Trojan-gen. (ALWIL), I-Worm/Fanta (Grisoft), Win32.Fanat.1.5.A@mm (SOFTWIN), Trojan Horse (Panda), Win32/Fanta.15 (Eset)