Trojan-Downloader. Win32.IstBar.or
Троянская программа-загрузчик.
Деструктивная активность
После запуска троянец проверяет возможность соединения с узлом www.ysbweb.com.
Если соединение отсутствует, троянец завершает свою работу. В противном случае выводит диалоговое окно.
После щелчка мыши на кнопке «Complete» троянец выполняет следующие действия:
1. Создает уникальный идентификатор «ISTdownloadMuTEX» для определения своего присутствия в системе.
2. Загружает из интернета, устанавливает и запускает на исполнение следующие программы:
* istsvc.exe (19 456 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.
Путь к программе: %Program Files%\ISTsvc\.
* istbarcm.dll (91 136 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kg.
Путь к программе: %Program Files%\ISTBar\
* optimize.exe (52 104 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ei.
Путь к программе: %Program Files%\InternetOptimizer\
* <6 случайных символов>.exe
Например: bnaoqc.exe (10 240 байт).
Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.
Путь к программе: %WinDir%\
* saferscan.exe (91 136 байт)
Путь к программе: %Program Files%\SaferScan\
* SAcc.exe (110 592 байт)
Путь к программе: %Program Files%\SurfAccuracy\
* SAccU.exe (16 384 байт)
Путь к программе: %Program Files%\SurfAccuracy\
* <8 случайных символов>.exe
Например: fowkxcmy.exe (52 104 байт).
Путь к программе: %WinDir%\
Эти программы загружаются со следующих ресурсов:
http://www.ysbweb.com
http://www.surfaccuracy.com
http://www.tbcode.com
http://www.slotch.com 3. Добавляет следующие ключи в системный реестр:
[HKCU\Software\SaferScan]
"account_id"="0"
[HKCU\Software\IST]
"account_id"="dword:00000000"
"config"=""
"exe_start"="dword:00000001"
"InstallDate"="%date% %time%"
"Recover"="!ZpHc:"
[HKLM\Software\ISTbar]
"installTitle"="SlotchBar"
"barTitle"="SlotchBar"
"serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
"urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
"gUpdate"="0"
"TBRowMode"="dword:00000000"
"xml_istbar.xml"="-206472906"
"imagemap_normal.bmp"="-942107825"
"imagemap_over.bmp"="-942107825"
"showcorrupted"="1"
"updatever"=""
"refreshscope"="1440"
"allowupdate"="0"
"LastCheckTime"="dword:4400260c"
"version.txt"="-186917087"
"UpdateBegin"="0"
[HKLM\Software\ISTbar\Historyfiles]
"C:\Program Files\ISTbar\xml_istbar.xml"="dword:00000001"
"C:\Program Files\ISTbar\imagemap_normal.bmp"="dword:00000001"
"C:\Program Files\ISTbar\imagemap_over.bmp"="dword:00000001"
"C:\Program Files\ISTbar\version.txt"="dword:00000001"
[HKLM\Software\ISTsvc]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
"UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
"NoModify"="dword:00000001"
[HKLM\Software\SAcc]
"accid"="104"
"subaccid"="0"
"Version"="dword:0x480"
"InstallDate"="dword:0x44002606"
"DbgInfo"="|2006-02-25 10:50:22 GetInetFile - CInternetException produced error 12029."
"srecovery"="!ZpH..."
"CfgReloadAttempts"="dword:00000001"
[HKLM\Software\Policies\Microsoft\Windows\Safer] 4. Регистрирует класс COM-объекта для ISTbar:
[HKCR\IstBar.BarObj]
"CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}
[HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
"ProgId"="ISTbar.BarObj" 5. Регистрирует скачанные файлы в ключе автозагрузки системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"IST Service"="C:\Program Files\ISTsvc\istsvc.exe"
"aKCSidSjW"="%WinDir%\bnaoqc.exe"
"SurfAccuracy"="C:\Program Files\SurfAccuracy\SAcc.exe"
"Internet Optimizer"="C:\Program Files\Internet Optimizer\optimize.exe"
"SaferScan"=""C:\Program Files\SaferScan\saferscan.exe" /aid:0"
"ReJf5vH"="%WinDir%\fowkxcmy.exe" 6. После завершения инсталляции открывает в браузере следующую страницу:
http://www.ysbweb.com/install/welcome.html