Троянская программа, предназначенная для кражи паролей пользователя.
Инсталляция
При запуске троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\robber1.exe
Ссылка на исполняемый файл добавляется в ключ автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Robber" = "%System%\robber1.exe"
Таким образом, вирус будет автоматически запускаться при каждой последующей загрузке операционной системы.
Деструктивная активность
Троянец ищет в системе окна, содержащие в заголовках следующие строки:
OICQ QQ
В подобных окнах производится поиск полей для ввода паролей и похищение их содержимого.
Собранные данные троянец сохраняет в файл отчета «robber.dll», который находится в его рабочей папке. Этот файл отсылается на электронный почтовый ящик, указанный злоумышленником.
Необходимо отметить, что конфигурируется данная троянская программа при помощи конструктора троянцев-шпионов.
Другие названия
Trojan-PSW.Win32.QQRob.10 («Лаборатория Касперского») также известен как: Trojan.PSW.QQRob.10 («Лаборатория Касперского»), PWS-QQRob (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Robber (Doctor Web), PWS:Win32/QQRob.1_0 (RAV), TROJ_QQROB.10 (Trend Micro), Trojan Horse (Panda), Win32/PSW.QQRob.10 (Eset)
Спойлер: она начинается с подписки на наш канал