Trojan-Downloader. Win32.IstBar.kg

Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера.

Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера. На панели расположено множество рекламных ссылок.

Данная программа приводит к нестабильной работе Internet Explorer, так как при обращении по ссылке обращается по несуществующему адресу, что проявляется в появлении ошибок типа «General Protection Fault», приводящих к аварийному завершению процесса.

Написана на Visual C++, упакована UPX. Является приложением Windows (PE DLL-библиотека ). Размер файла — около 91 КБ. Размер распакованного файла — около 284 КБ.

Инсталляция

Trojan-Downloader.Win32.IstBar.kg инсталлируется другим трояном с узла http://www.slotch.com в следующую папку с именем istbarcm.dll: %Program Files%\ISTBar\istbarcm.dll

В данную папку также могут быть загружены другие троянские компоненты.

После чего троянец запускается на исполнение.

Троянец создает следующие записи в системном реестре:

[HKLM\Software\ISTbar]
 "gUpdate"="0"
 "xml_istbar.xml"="-206472906"
 "imagemap_normal.bmp"="-942107825"
 "imagemap_over.bmp"="-942107825"
 "showcorrupted"="1"
 "updatever"=""
 "refreshscope"="1440"
 "allowupdate"="0"
 "LastCheckTime"="dword:4400260c"
 "version.txt"="-186917087"

[HKLM\Software\ISTbar\Historyfiles]
 "%Program Files%\ISTbar\xml_istbar.xml"="dword:00000001"
 "%Program Files%\ISTbar\imagemap_normal.bmp"="dword:00000001"
 "%Program Files%\ISTbar\imagemap_over.bmp"="dword:00000001"
 "%Program Files%\ISTbar\version.txt"="dword:00000001"

Также троянец использует различные ключи системного реестра, которые могли быть добавлены другим троянским загрузчиком:

[HKLM\Software\ISTbar]
 "installTitle"="SlotchBar"
 "barTitle"="SlotchBar"
 "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
 "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
 "TBRowMode"="dword:00000000"
 "UpdateBegin"="0"

регистрация класса COM-объекта для ISTbar:

[HKCR\IstBar.BarObj]
 "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}

[HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
 "ProgId"="ISTbar.BarObj"

[HKLM\Software\Classes\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
 "ProgId"="ISTbar.BarObj"
 "InProcServer32"="%Program Files%\ISTbar\istbarcm.dll"

добавление панели инструментов в Internet Explorer:

[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
{FAA356E4-D317-42a6-AB41-A3021C6E7D52}

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
 "{FAA356E4-D317-42A6-AB41-A3021C6E7D52}"="binary: e4 56 a3 fa 17 d3 a6 42 - ab 41 a3 02 1c 6e 7d 52"

Другие названия

Trojan-Downloader.Win32.IstBar.kg («Лаборатория Касперского») также известен как: Trojan.Isbar.291 (Doctor Web), TR/Dldr.IstB.jn.1.A (H+BEDV), Spyware/ISTbar (Panda)