Trojan-Downloader. Win32.IstBar.nj

Троянская программа. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Троянская программа. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Написана на Visual C++, упакована UPX. Является приложением Windows (PE EXE-файл). Размер файла — 64 128 байт. Размер распакованного файла — около 230 КБ.

Инсталляция

Троянская программа создает файл сименем «ns<3 произвольных символа>.tmp» во временном каталоге Windows:

%Temp%\ns<3 произвольных символа>.tmp

Также во временной папке «%temp%\ns<3 произвольных символа>.tmp\» троянец создает следующие файлы:

%temp%\ns<3 произвольных символа>.tmp\System.dll (7 168 байт)
%temp%\ns<3 произвольных символа>.tmp\InstallOptions.dll (8 704 байт)
%temp%\ns<3 произвольных символа>.tmp\NSISdl.dll (8 704 байт)
%temp%\ns<3 произвольных символа>.tmp\gkey.dll (6 656 байт)
%temp%\ns<3 произвольных символа>.tmp\logo.bmp (18 180 байт)
%temp%\ns<3 произвольных символа>.tmp\ysb.ini (4 096 байт)

Также троянец создает текстовый файл C:\data со строковыми и числовыми константами.

Деструктивная активность

Троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец выполняет следующие действия:

1. добавляет в системный реестр запись:

      [HKCU\Software\IST]
       "exe_start"="dword:00000001"

2. выводит диалоговое окно

После нажатия на кнопку «I AGREE» троянец соединяется с узлом www.ysbweb.com. В противном случае троянец удаляет исполняемый файл «ns<3 произвольных символа>.tmp» и завершает работу.

Если соединение удалось установить, троянец:

1. добавляет следующие записи в системный реестр:

      [HKCU\Software\IST]
       "account_id"="dword:000f528e"
       "config"="ysb_m3"
       "exe_start"="dword:00000001"
       "InstallDate"="%date% %time%"

2. скачивает без ведома пользователя с URL http://www.ysbweb.com/ist/softwares/***/istdownload.exe другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.or.

3. скачивает без ведома пользователя с URL http://www.yoursitebar.com другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ms.

4. выводит диалоговое окно инсталляции трояна Trojan-Downloader.Win32.IstBar.or