Security Lab

Trojan-Downloader. Win32.IstBar.kg

Trojan-Downloader. Win32.IstBar.kg

Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера.

Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера. На панели расположено множество рекламных ссылок.

Данная программа приводит к нестабильной работе Internet Explorer, так как при обращении по ссылке обращается по несуществующему адресу, что проявляется в появлении ошибок типа «General Protection Fault», приводящих к аварийному завершению процесса.

Написана на Visual C++, упакована UPX. Является приложением Windows (PE DLL-библиотека ). Размер файла — около 91 КБ. Размер распакованного файла — около 284 КБ.

Инсталляция

Trojan-Downloader.Win32.IstBar.kg инсталлируется другим трояном с узла http://www.slotch.com в следующую папку с именем istbarcm.dll: %Program Files%\ISTBar\istbarcm.dll

В данную папку также могут быть загружены другие троянские компоненты.

После чего троянец запускается на исполнение.

Троянец создает следующие записи в системном реестре:

  [HKLM\Software\ISTbar]
   "gUpdate"="0"
   "xml_istbar.xml"="-206472906"
   "imagemap_normal.bmp"="-942107825"
   "imagemap_over.bmp"="-942107825"
   "showcorrupted"="1"
   "updatever"=""
   "refreshscope"="1440"
   "allowupdate"="0"
   "LastCheckTime"="dword:4400260c"
   "version.txt"="-186917087"
  
  [HKLM\Software\ISTbar\Historyfiles]
   "%Program Files%\ISTbar\xml_istbar.xml"="dword:00000001"
   "%Program Files%\ISTbar\imagemap_normal.bmp"="dword:00000001"
   "%Program Files%\ISTbar\imagemap_over.bmp"="dword:00000001"
   "%Program Files%\ISTbar\version.txt"="dword:00000001"
  

Также троянец использует различные ключи системного реестра, которые могли быть добавлены другим троянским загрузчиком:

  [HKLM\Software\ISTbar]
   "installTitle"="SlotchBar"
   "barTitle"="SlotchBar"
   "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/"
   "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html"
   "TBRowMode"="dword:00000000"
   "UpdateBegin"="0"

регистрация класса COM-объекта для ISTbar:

  [HKCR\IstBar.BarObj]
   "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52}
  
  [HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
   "ProgId"="ISTbar.BarObj"
  
  [HKLM\Software\Classes\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}]
   "ProgId"="ISTbar.BarObj"
   "InProcServer32"="%Program Files%\ISTbar\istbarcm.dll"
  

добавление панели инструментов в Internet Explorer:

  [HKLM\Software\Microsoft\Internet Explorer\Toolbar]
  {FAA356E4-D317-42a6-AB41-A3021C6E7D52}
  
  [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
   "{FAA356E4-D317-42A6-AB41-A3021C6E7D52}"="binary: e4 56 a3 fa 17 d3 a6 42 - ab 41 a3 02 1c 6e 7d 52"
  

Другие названия

Trojan-Downloader.Win32.IstBar.kg («Лаборатория Касперского») также известен как: Trojan.Isbar.291 (Doctor Web), TR/Dldr.IstB.jn.1.A (H+BEDV), Spyware/ISTbar (Panda)

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!