Trojan-Downloader. Win32.IstBar.mx

Троянская программа-загрузчик. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Троянская программа-загрузчик. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Написана на языке Visual C++, упакована UPX. Является приложением Windows (PE EXE-файл). Размер файла — 18 944 байта. Размер распакованного файла — около 45 КБ.

Инсталляция

Trojan-Downloader.Win32.IstBar.mx инсталлируется другим трояном во временный каталог Windows со случайным именем из 6 латинских букв и цифр:

 %Temp%\<6 случайных символов>.exe
 

После запуска троянец создает уникальный идентификатор «ISTsvcMUTEX» для определения своего присутствия в системе.

Деструктивная активность

Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя.

Троянец скачивает без ведома пользователя с URL http://c***e.ysbweb.com/ist/softwares/istrecover другого троянца, сохраняет его на зараженном компьютере со случайным именем во временном каталоге Windows (%Temp%\<5 случайных символов>.exe) и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.

Также троянец скачивает без ведома пользователя с URL http://c***e.ysbweb.com/ist/softwares/addins другого троянца, сохраняет его на зараженном компьютере с именем istsvc.exe во временном каталоге Windows (%Temp%\ istsvc.exe) и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.

После чего создаются следующие ключи в системном реестре:

 [HKLM\Software\ISTsvc]
  "version"="dword:0x400"
  "app_name"="istsvc.exe"
  "popup_url"="http://www.ysbweb.com/ist/scripts/istsvc_ads_data.php"
  "update_url"= "http://cache.ysbweb.com/ist/softwares/istupdates/istsvc_updater.exe"
  "ui"="DF4505D4-D43C-4bd0-A6B0-07EF0A8C6637"
  "popup_initial_delay"="dword:0x258"
  "popup_count"="dword:00000000"
  "popup_day_count"="dword:00000000"
  "popup_day_limit"="dword:00000001"
  "update_count"="dword:00000000"
  "update_version"="dword:0x400"
  "account_id"="dword:00000002"
  "app_date"="qword:7e 99 cd db 4a 45 c6 01"
  "popup_interval"="dword:0x2a30"
  "popup_last"="qword:00 00 00 00 00 00 00 00"
  "update_interval"="dword:0x15180"
  "update_last"="qword:7e 99 cd db 4a 45 c6 01"
  "config_interval"="dword:0x69780"
  "config_last"="dword:2e dc af 2d 4c 45 c6 01"
 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
  "DisplayName"="ISTsvc"
  "UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
  "NoModify"="dword:00000001"
 

Другие названия

Trojan-Downloader.Win32.IstBar.mx («Лаборатория Касперского») также известен как: Trojan.Isbar.332 (Doctor Web), TR/Dldr.IstBar.JT.4 (H+BEDV), Downloader.Istbar.ED (Grisoft), Trojan.Downloader.Istbar.JT (SOFTWIN), Adware/IST.ISTBar (Panda), Win32/TrojanDownloader.IstBar (Eset)