Security Lab

Trojan-Downloader. Win32.IstBar.nj

Trojan-Downloader. Win32.IstBar.nj

Троянская программа. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Троянская программа. Предназначена для скрытого скачивания из интернета на компьютер пользователя различных вредоносных программ.

Написана на Visual C++, упакована UPX. Является приложением Windows (PE EXE-файл). Размер файла — 64 128 байт. Размер распакованного файла — около 230 КБ.

Инсталляция

Троянская программа создает файл сименем «ns<3 произвольных символа>.tmp» во временном каталоге Windows:

%Temp%\ns<3 произвольных символа>.tmp

Также во временной папке «%temp%\ns<3 произвольных символа>.tmp\» троянец создает следующие файлы:

  %temp%\ns<3 произвольных символа>.tmp\System.dll (7 168 байт)
  %temp%\ns<3 произвольных символа>.tmp\InstallOptions.dll (8 704 байт)
  %temp%\ns<3 произвольных символа>.tmp\NSISdl.dll (8 704 байт)
  %temp%\ns<3 произвольных символа>.tmp\gkey.dll (6 656 байт)
  %temp%\ns<3 произвольных символа>.tmp\logo.bmp (18 180 байт)
  %temp%\ns<3 произвольных символа>.tmp\ysb.ini (4 096 байт)

Также троянец создает текстовый файл C:\data со строковыми и числовыми константами.

Деструктивная активность

Троянец проверяет возможность соединения с узлом www.ysbweb.com.

Если соединение отсутствует, троянец выполняет следующие действия:

1. добавляет в системный реестр запись:

        [HKCU\Software\IST]
         "exe_start"="dword:00000001"

2. выводит диалоговое окно

После нажатия на кнопку «I AGREE» троянец соединяется с узлом www.ysbweb.com. В противном случае троянец удаляет исполняемый файл «ns<3 произвольных символа>.tmp» и завершает работу.

Если соединение удалось установить, троянец:

1. добавляет следующие записи в системный реестр:

        [HKCU\Software\IST]
         "account_id"="dword:000f528e"
         "config"="ysb_m3"
         "exe_start"="dword:00000001"
         "InstallDate"="%date% %time%"

2. скачивает без ведома пользователя с URL http://www.ysbweb.com/ist/softwares/***/istdownload.exe другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.or.

3. скачивает без ведома пользователя с URL http://www.yoursitebar.com другого троянца, сохраняет его на зараженном компьютере и запускает на исполнение. Скаченный файл детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.ms.

4. выводит диалоговое окно инсталляции трояна Trojan-Downloader.Win32.IstBar.or

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

Кофейная ловушка: уязвимость домена Nespresso привела к всплеску фишинговых атак

Заработок мечты или обман? Детали скам-схемы с TON в Telegram

Полиция Европы против повсеместного внедрения E2EE

Последний полет CloudSat: какие загадки облаков ему удалось разгадать за 18 лет?

Теневой бизнес адаптируется: как нелегальные казино и букмеркеры обходят ограничения ЦБ

Голдман: генеративный ИИ погибнет от рук бюрократии

Китайский процессор Zhaoxin KX-7000 обходит Skylake в многоядерных тестах

Обнаружена огромная энергетическая вспышка от магнитной нейтронной звезды

Qualcomm бросает вызов Intel и Apple новыми процессорами Snapdragon X Plus для Windows РПК