Trojan-PSW.Win32. QQRob.10

Троянская программа, предназначенная для кражи паролей пользователя. Является приложением Windows (PE EXE-файл). Имеет размер 70144 байта.

Инсталляция

При запуске троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\robber1.exe

Ссылка на исполняемый файл добавляется в ключ автозапуска системного реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Robber" = "%System%\robber1.exe"

Таким образом, вирус будет автоматически запускаться при каждой последующей загрузке операционной системы.

Деструктивная активность

Троянец ищет в системе окна, содержащие в заголовках следующие строки:

  OICQ
  QQ
  

В подобных окнах производится поиск полей для ввода паролей и похищение их содержимого.

Собранные данные троянец сохраняет в файл отчета «robber.dll», который находится в его рабочей папке. Этот файл отсылается на электронный почтовый ящик, указанный злоумышленником.

Необходимо отметить, что конфигурируется данная троянская программа при помощи конструктора троянцев-шпионов.

Другие названия

Trojan-PSW.Win32.QQRob.10 («Лаборатория Касперского») также известен как: Trojan.PSW.QQRob.10 («Лаборатория Касперского»), PWS-QQRob (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Robber (Doctor Web), PWS:Win32/QQRob.1_0 (RAV), TROJ_QQROB.10 (Trend Micro), Trojan Horse (Panda), Win32/PSW.QQRob.10 (Eset)