Security Lab

Trojan-Downloader. Win32.IstBar.or

Trojan-Downloader. Win32.IstBar.or

Троянская программа-загрузчик.

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл), упакована UPX. Размер файла — 32 256 байт. Размер распакованного файла — около 90 КБ. Написана на языке Visual C++.

Деструктивная активность

После запуска троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец завершает свою работу. В противном случае выводит диалоговое окно.

После щелчка мыши на кнопке «Complete» троянец выполняет следующие действия:

1. Создает уникальный идентификатор «ISTdownloadMuTEX» для определения своего присутствия в системе.

2. Загружает из интернета, устанавливает и запускает на исполнение следующие программы:

* istsvc.exe (19 456 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.gen.

Путь к программе: %Program Files%\ISTsvc\.

* istbarcm.dll (91 136 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kg.

Путь к программе: %Program Files%\ISTBar\

* optimize.exe (52 104 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ei.

Путь к программе: %Program Files%\InternetOptimizer\

* <6 случайных символов>.exe

Например: bnaoqc.exe (10 240 байт).

Детектируется антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ij.

Путь к программе: %WinDir%\

* saferscan.exe (91 136 байт)

Путь к программе: %Program Files%\SaferScan\

* SAcc.exe (110 592 байт)

Путь к программе: %Program Files%\SurfAccuracy\

* SAccU.exe (16 384 байт)

Путь к программе: %Program Files%\SurfAccuracy\

* <8 случайных символов>.exe

Например: fowkxcmy.exe (52 104 байт).

Путь к программе: %WinDir%\

Эти программы загружаются со следующих ресурсов:

              http://www.ysbweb.com
              http://www.surfaccuracy.com
              http://www.tbcode.com
              http://www.slotch.com

3. Добавляет следующие ключи в системный реестр:

  
        [HKCU\Software\SaferScan]
         "account_id"="0"
  
        [HKCU\Software\IST]
         "account_id"="dword:00000000"
         "config"=""
         "exe_start"="dword:00000001"
         "InstallDate"="%date% %time%"
         "Recover"="!ZpHc:"
  
        [HKLM\Software\ISTbar]
         "installTitle"="SlotchBar"
         "barTitle"="SlotchBar"
         "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
         "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
         "gUpdate"="0"
         "TBRowMode"="dword:00000000"
         "xml_istbar.xml"="-206472906"
         "imagemap_normal.bmp"="-942107825"
         "imagemap_over.bmp"="-942107825"
         "showcorrupted"="1"
         "updatever"=""
         "refreshscope"="1440"
         "allowupdate"="0"
         "LastCheckTime"="dword:4400260c"
         "version.txt"="-186917087"
         "UpdateBegin"="0"
  
        [HKLM\Software\ISTbar\Historyfiles]
         "C:\Program Files\ISTbar\xml_istbar.xml"="dword:00000001"
         "C:\Program Files\ISTbar\imagemap_normal.bmp"="dword:00000001"
         "C:\Program Files\ISTbar\imagemap_over.bmp"="dword:00000001"
         "C:\Program Files\ISTbar\version.txt"="dword:00000001"
  
        [HKLM\Software\ISTsvc]
  
        [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
         "DisplayName"="ISTsvc"
         "UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
         "NoModify"="dword:00000001"
  
        [HKLM\Software\SAcc]
         "accid"="104"
         "subaccid"="0"
         "Version"="dword:0x480"
         "InstallDate"="dword:0x44002606"
         "DbgInfo"="|2006-02-25 10:50:22 GetInetFile - CInternetException produced error 12029."
         "srecovery"="!ZpH..."
         "CfgReloadAttempts"="dword:00000001"
  
        [HKLM\Software\Policies\Microsoft\Windows\Safer]

4. Регистрирует класс COM-объекта для ISTbar:

  
        [HKCR\IstBar.BarObj]
         "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}
  
        [HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
         "ProgId"="ISTbar.BarObj"

5. Регистрирует скачанные файлы в ключе автозагрузки системного реестра:

        [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
         "IST Service"="C:\Program Files\ISTsvc\istsvc.exe"
         "aKCSidSjW"="%WinDir%\bnaoqc.exe"
         "SurfAccuracy"="C:\Program Files\SurfAccuracy\SAcc.exe"
         "Internet Optimizer"="C:\Program Files\Internet Optimizer\optimize.exe"
         "SaferScan"=""C:\Program Files\SaferScan\saferscan.exe" /aid:0"
         "ReJf5vH"="%WinDir%\fowkxcmy.exe"  

6. После завершения инсталляции открывает в браузере следующую страницу:

        http://www.ysbweb.com/install/welcome.html

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!