Троянская программа-загрузчик. Представлена в виде панели инструментов для интернет-браузера.
Данная программа приводит к нестабильной работе Internet Explorer, так как при обращении по ссылке обращается по несуществующему адресу, что проявляется в появлении ошибок типа «General Protection Fault», приводящих к аварийному завершению процесса.
Написана на Visual C++, упакована UPX. Является приложением Windows (PE DLL-библиотека ). Размер файла — около 91 КБ. Размер распакованного файла — около 284 КБ.
Инсталляция
Trojan-Downloader.Win32.IstBar.kg инсталлируется другим трояном с узла http://www.slotch.com в следующую папку с именем istbarcm.dll: %Program Files%\ISTBar\istbarcm.dll
В данную папку также могут быть загружены другие троянские компоненты.
После чего троянец запускается на исполнение.
Троянец создает следующие записи в системном реестре:
[HKLM\Software\ISTbar] "gUpdate"="0" "xml_istbar.xml"="-206472906" "imagemap_normal.bmp"="-942107825" "imagemap_over.bmp"="-942107825" "showcorrupted"="1" "updatever"="" "refreshscope"="1440" "allowupdate"="0" "LastCheckTime"="dword:4400260c" "version.txt"="-186917087" [HKLM\Software\ISTbar\Historyfiles] "%Program Files%\ISTbar\xml_istbar.xml"="dword:00000001" "%Program Files%\ISTbar\imagemap_normal.bmp"="dword:00000001" "%Program Files%\ISTbar\imagemap_over.bmp"="dword:00000001" "%Program Files%\ISTbar\version.txt"="dword:00000001"
Также троянец использует различные ключи системного реестра, которые могли быть добавлены другим троянским загрузчиком:
[HKLM\Software\ISTbar] "installTitle"="SlotchBar" "barTitle"="SlotchBar" "serverpath"="http://cache.slotch.com/ist/bars/istbar_cm/" "urlAfterInstall"="http://www.ysbweb.com/install/welcome.html" "TBRowMode"="dword:00000000" "UpdateBegin"="0"
регистрация класса COM-объекта для ISTbar:
[HKCR\IstBar.BarObj] "CLSID"={FAA356E4-D317-42a6-AB41-A3021C6E7D52} [HKCR\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}] "ProgId"="ISTbar.BarObj" [HKLM\Software\Classes\CLSID\{FAA356E4-D317-42a6-AB41-A3021C6E7D52}] "ProgId"="ISTbar.BarObj" "InProcServer32"="%Program Files%\ISTbar\istbarcm.dll"
добавление панели инструментов в Internet Explorer:
[HKLM\Software\Microsoft\Internet Explorer\Toolbar] {FAA356E4-D317-42a6-AB41-A3021C6E7D52} [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{FAA356E4-D317-42A6-AB41-A3021C6E7D52}"="binary: e4 56 a3 fa 17 d3 a6 42 - ab 41 a3 02 1c 6e 7d 52"
Другие названия
Trojan-Downloader.Win32.IstBar.kg («Лаборатория Касперского») также известен как: Trojan.Isbar.291 (Doctor Web), TR/Dldr.IstB.jn.1.A (H+BEDV), Spyware/ISTbar (Panda)