Trojan-Downloader. Win32.IstBar.or

Троянская программа-загрузчик.

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл), упакована UPX. Размер файла — 32 256 байт. Размер распакованного файла — около 90 КБ. Написана на языке Visual C++.

Деструктивная активность

После запуска троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец завершает свою работу. В противном случае выводит диалоговое окно.

После щелчка мыши на кнопке «Complete» троянец выполняет следующие действия:

1. Создает уникальный идентификатор «ISTdownloadMuTEX» для определения своего присутствия в системе.

2. Загружает из интернета, устанавливает и запускает на исполнение следующие программы:

* istsvc.exe (19 456 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.

Путь к программе: %Program Files%\ISTsvc\.

* istbarcm.dll (91 136 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kg.

Путь к программе: %Program Files%\ISTBar\

* optimize.exe (52 104 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ei.

Путь к программе: %Program Files%\InternetOptimizer\

* <6 случайных символов>.exe

Например: bnaoqc.exe (10 240 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.

Путь к программе: %WinDir%\

* saferscan.exe (91 136 байт)

Путь к программе: %Program Files%\SaferScan\

* SAcc.exe (110 592 байт)

Путь к программе: %Program Files%\SurfAccuracy\

* SAccU.exe (16 384 байт)

Путь к программе: %Program Files%\SurfAccuracy\

* <8 случайных символов>.exe

Например: fowkxcmy.exe (52 104 байт).

Путь к программе: %WinDir%\

Эти программы загружаются со следующих ресурсов:

            http://www.ysbweb.com
            http://www.surfaccuracy.com
            http://www.tbcode.com
            http://www.slotch.com

3. Добавляет следующие ключи в системный реестр:


      [HKCU\Software\SaferScan]
       "account_id"="0"

      [HKCU\Software\IST]
       "account_id"="dword:00000000"
       "config"=""
       "exe_start"="dword:00000001"
       "InstallDate"="%date% %time%"
       "Recover"="!ZpHc:"

      [HKLM\Software\ISTbar]
       "installTitle"="SlotchBar"
       "barTitle"="SlotchBar"
       "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
       "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
       "gUpdate"="0"
       "TBRowMode"="dword:00000000"
       "xml_istbar.xml"="-206472906"
       "imagemap_normal.bmp"="-942107825"
       "imagemap_over.bmp"="-942107825"
       "showcorrupted"="1"
       "updatever"=""
       "refreshscope"="1440"
       "allowupdate"="0"
       "LastCheckTime"="dword:4400260c"
       "version.txt"="-186917087"
       "UpdateBegin"="0"

      [HKLM\Software\ISTbar\Historyfiles]
       "C:\Program Files\ISTbar\xml_istbar.xml"="dword:00000001"
       "C:\Program Files\ISTbar\imagemap_normal.bmp"="dword:00000001"
       "C:\Program Files\ISTbar\imagemap_over.bmp"="dword:00000001"
       "C:\Program Files\ISTbar\version.txt"="dword:00000001"

      [HKLM\Software\ISTsvc]

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
       "DisplayName"="ISTsvc"
       "UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
       "NoModify"="dword:00000001"

      [HKLM\Software\SAcc]
       "accid"="104"
       "subaccid"="0"
       "Version"="dword:0x480"
       "InstallDate"="dword:0x44002606"
       "DbgInfo"="|2006-02-25 10:50:22 GetInetFile - CInternetException produced error 12029."
       "srecovery"="!ZpH..."
       "CfgReloadAttempts"="dword:00000001"

      [HKLM\Software\Policies\Microsoft\Windows\Safer]

4. Регистрирует класс COM-объекта для ISTbar:


      [HKCR\IstBar.BarObj]
       "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}

      [HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
       "ProgId"="ISTbar.BarObj"

5. Регистрирует скачанные файлы в ключе автозагрузки системного реестра:

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
       "IST Service"="C:\Program Files\ISTsvc\istsvc.exe"
       "aKCSidSjW"="%WinDir%\bnaoqc.exe"
       "SurfAccuracy"="C:\Program Files\SurfAccuracy\SAcc.exe"
       "Internet Optimizer"="C:\Program Files\Internet Optimizer\optimize.exe"
       "SaferScan"=""C:\Program Files\SaferScan\saferscan.exe" /aid:0"
       "ReJf5vH"="%WinDir%\fowkxcmy.exe"  

6. После завершения инсталляции открывает в браузере следующую страницу:

      http://www.ysbweb.com/install/welcome.html