Trojan-Downloader. Win32.IstBar.mx

Троянская программа-загрузчик. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Троянская программа-загрузчик. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Написана на языке Visual C++, упакована UPX. Является приложением Windows (PE EXE-файл). Размер файла — 18 944 байта. Размер распакованного файла — около 45 КБ.

Инсталляция

Trojan-Downloader.Win32.IstBar.mx инсталлируется другим трояном во временный каталог Windows со случайным именем из 6 латинских букв и цифр:

%Temp%\<6 случайных символов>.exe

После запуска троянец создает уникальный идентификатор «ISTsvcMUTEX» для определения своего присутствия в системе.

Деструктивная активность

Троянская программа имеет функцию загрузки файлов из интернета и запуска их на компьютере пользователя.

Троянец скачивает без ведома пользователя с URL http://c***e.ysbweb.com/ist/softwares/istrecover другого троянца, сохраняет его на зараженном компьютере со случайным именем во временном каталоге Windows (%Temp%\<5 случайных символов>.exe) и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.

Также троянец скачивает без ведома пользователя с URL http://c***e.ysbweb.com/ist/softwares/addins другого троянца, сохраняет его на зараженном компьютере с именем istsvc.exe во временном каталоге Windows (%Temp%\ istsvc.exe) и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.

После чего создаются следующие ключи в системном реестре:

[HKLM\Software\ISTsvc]
 "version"="dword:0x400"
 "app_name"="istsvc.exe"
 "popup_url"="http://www.ysbweb.com/ist/scripts/istsvc_ads_data.php"
 "update_url"= "http://cache.ysbweb.com/ist/softwares/istupdates/istsvc_updater.exe"
 "ui"="DF4505D4-D43C-4bd0-A6B0-07EF0A8C6637"
 "popup_initial_delay"="dword:0x258"
 "popup_count"="dword:00000000"
 "popup_day_count"="dword:00000000"
 "popup_day_limit"="dword:00000001"
 "update_count"="dword:00000000"
 "update_version"="dword:0x400"
 "account_id"="dword:00000002"
 "app_date"="qword:7e 99 cd db 4a 45 c6 01"
 "popup_interval"="dword:0x2a30"
 "popup_last"="qword:00 00 00 00 00 00 00 00"
 "update_interval"="dword:0x15180"
 "update_last"="qword:7e 99 cd db 4a 45 c6 01"
 "config_interval"="dword:0x69780"
 "config_last"="dword:2e dc af 2d 4c 45 c6 01"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
 "DisplayName"="ISTsvc"
 "UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
 "NoModify"="dword:00000001"

Другие названия

Trojan-Downloader.Win32.IstBar.mx («Лаборатория Касперского») также известен как: Trojan.Isbar.332 (Doctor Web), TR/Dldr.IstBar.JT.4 (H+BEDV), Downloader.Istbar.ED (Grisoft), Trojan.Downloader.Istbar.JT (SOFTWIN), Adware/IST.ISTBar (Panda), Win32/TrojanDownloader.IstBar (Eset)