Security Lab

Trojan-Downloader. Win32.IstBar.nj

Trojan-Downloader. Win32.IstBar.nj

Троянская программа. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Троянская программа. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Написана на Visual C++, упакована UPX. Является приложением Windows (PE EXE-файл). Размер файла — 64 128 байт. Размер распакованного файла — около 230 КБ.

Инсталляция

Троянская программа создает файл сименем «ns<3 произвольных символа>.tmp» во временном каталоге Windows:

%Temp%\ns<3 произвольных символа>.tmp

Также во временной папке «%temp%\ns<3 произвольных символа>.tmp\» троянец создает следующие файлы:

  %temp%\ns<3 произвольных символа>.tmp\System.dll (7 168 байт)
  %temp%\ns<3 произвольных символа>.tmp\InstallOptions.dll (8 704 байт)
  %temp%\ns<3 произвольных символа>.tmp\NSISdl.dll (8 704 байт)
  %temp%\ns<3 произвольных символа>.tmp\gkey.dll (6 656 байт)
  %temp%\ns<3 произвольных символа>.tmp\logo.bmp (18 180 байт)
  %temp%\ns<3 произвольных символа>.tmp\ysb.ini (4 096 байт)

Также троянец создает текстовый файл C:\data со строковыми и числовыми константами.

Деструктивная активность

Троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец выполняет следующие действия:

1. добавляет в системный реестр запись:

        [HKCU\Software\IST]
         "exe_start"="dword:00000001"

2. выводит диалоговое окно

После нажатия на кнопку «I AGREE» троянец соединяется с узлом www.ysbweb.com. В противном случае троянец удаляет исполняемый файл «ns<3 произвольных символа>.tmp» и завершает работу.

Если соединение удалось установить, троянец:

1. добавляет следующие записи в системный реестр:

        [HKCU\Software\IST]
         "account_id"="dword:000f528e"
         "config"="ysb_m3"
         "exe_start"="dword:00000001"
         "InstallDate"="%date% %time%"

2. скачивает без ведома пользователя с URL http://www.ysbweb.com/ist/softwares/***/istdownload.exe другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.or.

3. скачивает без ведома пользователя с URL http://www.yoursitebar.com другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ms.

4. выводит диалоговое окно инсталляции трояна Trojan-Downloader.Win32.IstBar.or

Большой брат следит за вами, но мы знаем, как остановить его. Подпишитесь на наш канал!

Новости по теме

Генетическая революция начинается: UK Biobank раскрывает секреты ДНК

Хаос в финансовом секторе: кибератака на Trellance

Искусственный интеллект DeepMind за год нашел больше новых материалов, чем ученые за столетия

ЕС объявляет войну “умным” устройствам-шпионам

Meta AI представляет «бесшовный» переводчик для общения на разных языках в режиме реального времени

Линукс разгромил Windows 11 в играх: новые тесты открыли глаза на реальность

Как человеческие клетки стали исцеляющими биороботами

Учёные зафиксировали гравитационные волны невиданной мощности от столкновения гигантских чёрных дыр

Google хочет заставить вас смотреть рекламу