Trojan-Downloader. Win32.IstBar.kg

Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера.

Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера. На панели расположено множество рекламных ссылок.

Данная программа приводит к нестабильной работе Internet Explorer, так как при обращении по ссылке обращается по несуществующему адресу, что проявляется в появлении ошибок типа «General Protection Fault», приводящих к аварийному завершению процесса.

Написана на Visual C++, упакована UPX. Является приложением Windows (PE DLL-библиотека ). Размер файла — около 91 КБ. Размер распакованного файла — около 284 КБ.

Инсталляция

Trojan-Downloader.Win32.IstBar.kg инсталлируется другим трояном с узла http://www.slotch.com в следующую папку с именем istbarcm.dll: %Program Files%\ISTBar\istbarcm.dll

В данную папку также могут быть загружены другие троянские компоненты.

После чего троянец запускается на исполнение.

Троянец создает следующие записи в системном реестре:

 [HKLM\Software\ISTbar]
  "gUpdate"="0"
  "xml_istbar.xml"="-206472906"
  "imagemap_normal.bmp"="-942107825"
  "imagemap_over.bmp"="-942107825"
  "showcorrupted"="1"
  "updatever"=""
  "refreshscope"="1440"
  "allowupdate"="0"
  "LastCheckTime"="dword:4400260c"
  "version.txt"="-186917087"
 
 [HKLM\Software\ISTbar\Historyfiles]
  "%Program Files%\ISTbar\xml_istbar.xml"="dword:00000001"
  "%Program Files%\ISTbar\imagemap_normal.bmp"="dword:00000001"
  "%Program Files%\ISTbar\imagemap_over.bmp"="dword:00000001"
  "%Program Files%\ISTbar\version.txt"="dword:00000001"
 

Также троянец использует различные ключи системного реестра, которые могли быть добавлены другим троянским загрузчиком:

 [HKLM\Software\ISTbar]
  "installTitle"="SlotchBar"
  "barTitle"="SlotchBar"
  "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
  "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
  "TBRowMode"="dword:00000000"
  "UpdateBegin"="0"

регистрация класса COM-объекта для ISTbar:

 [HKCR\IstBar.BarObj]
  "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}
 
 [HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
  "ProgId"="ISTbar.BarObj"
 
 [HKLM\Software\Classes\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
  "ProgId"="ISTbar.BarObj"
  "InProcServer32"="%Program Files%\ISTbar\istbarcm.dll"
 

добавление панели инструментов в Internet Explorer:

 [HKLM\Software\Microsoft\Internet Explorer\Toolbar]
 {FAA356E4-D317-42a6-AB41-A3021C6E7D52}
 
 [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
  "{FAA356E4-D317-42A6-AB41-A3021C6E7D52}"="binary: e4 56 a3 fa 17 d3 a6 42 - ab 41 a3 02 1c 6e 7d 52"
 

Другие названия

Trojan-Downloader.Win32.IstBar.kg («Лаборатория Касперского») также известен как: Trojan.Isbar.291 (Doctor Web), TR/Dldr.IstB.jn.1.A (H+BEDV), Spyware/ISTbar (Panda)