Троянская программа-загрузчик.
Деструктивная активность
После запуска троянец проверяет возможность соединения с узлом www.ysbweb.com.
Если соединение отсутствует, троянец завершает свою работу. В противном случае выводит диалоговое окно.
После щелчка мыши на кнопке «Complete» троянец выполняет следующие действия:
1. Создает уникальный идентификатор «ISTdownloadMuTEX» для определения своего присутствия в системе.
2. Загружает из интернета, устанавливает и запускает на исполнение следующие программы:
* istsvc.exe (19 456 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.
Путь к программе: %Program Files%\ISTsvc\.
* istbarcm.dll (91 136 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kg.
Путь к программе: %Program Files%\ISTBar\
* optimize.exe (52 104 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ei.
Путь к программе: %Program Files%\InternetOptimizer\
* <6 случайных символов>.exe
Например: bnaoqc.exe (10 240 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.
Путь к программе: %WinDir%\
* saferscan.exe (91 136 байт)
Путь к программе: %Program Files%\SaferScan\
* SAcc.exe (110 592 байт)
Путь к программе: %Program Files%\SurfAccuracy\
* SAccU.exe (16 384 байт)
Путь к программе: %Program Files%\SurfAccuracy\
* <8 случайных символов>.exe
Например: fowkxcmy.exe (52 104 байт).
Путь к программе: %WinDir%\
Эти программы загружаются со следующих ресурсов:
http://www.ysbweb.com http://www.surfaccuracy.com http://www.tbcode.com http://www.slotch.com
3. Добавляет следующие ключи в системный реестр:
[HKCU\Software\SaferScan] "account_id"="0" [HKCU\Software\IST] "account_id"="dword:00000000" "config"="" "exe_start"="dword:00000001" "InstallDate"="%date% %time%" "Recover"="!ZpHc:" [HKLM\Software\ISTbar] "installTitle"="SlotchBar" "barTitle"="SlotchBar" "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/" "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html" "gUpdate"="0" "TBRowMode"="dword:00000000" "xml_istbar.xml"="-206472906" "imagemap_normal.bmp"="-942107825" "imagemap_over.bmp"="-942107825" "showcorrupted"="1" "updatever"="" "refreshscope"="1440" "allowupdate"="0" "LastCheckTime"="dword:4400260c" "version.txt"="-186917087" "UpdateBegin"="0" [HKLM\Software\ISTbar\Historyfiles] "C:\Program Files\ISTbar\xml_istbar.xml"="dword:00000001" "C:\Program Files\ISTbar\imagemap_normal.bmp"="dword:00000001" "C:\Program Files\ISTbar\imagemap_over.bmp"="dword:00000001" "C:\Program Files\ISTbar\version.txt"="dword:00000001" [HKLM\Software\ISTsvc] [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc] "DisplayName"="ISTsvc" "UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove" "NoModify"="dword:00000001" [HKLM\Software\SAcc] "accid"="104" "subaccid"="0" "Version"="dword:0x480" "InstallDate"="dword:0x44002606" "DbgInfo"="|2006-02-25 10:50:22 GetInetFile - CInternetException produced error 12029." "srecovery"="!ZpH..." "CfgReloadAttempts"="dword:00000001" [HKLM\Software\Policies\Microsoft\Windows\Safer]
4. Регистрирует класс COM-объекта для ISTbar:
[HKCR\IstBar.BarObj] "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52} [HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}] "ProgId"="ISTbar.BarObj"
5. Регистрирует скачанные файлы в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "IST Service"="C:\Program Files\ISTsvc\istsvc.exe" "aKCSidSjW"="%WinDir%\bnaoqc.exe" "SurfAccuracy"="C:\Program Files\SurfAccuracy\SAcc.exe" "Internet Optimizer"="C:\Program Files\Internet Optimizer\optimize.exe" "SaferScan"=""C:\Program Files\SaferScan\saferscan.exe" /aid:0" "ReJf5vH"="%WinDir%\fowkxcmy.exe"
6. После завершения инсталляции открывает в браузере следующую страницу:
http://www.ysbweb.com/install/welcome.html