Trojan-Downloader. Win32.IstBar.bo

Троянская программа, которая без ведома пользователя загружает на компьютер файлы из сети Интернет и запускает их на исполнение. Является приложением Windows (PE EXE-файл). Имеет размер 8704 байта. Упакована при помощи UPX. Размер распакованного файла — около 40 КБ. Написана на С++.

Деструктивная активность

После запуска троянец ищет в системном реестре следующие ключи:

[HKLM\Software\ISTsvc]
  "popup_url" = "http://www.slotch.com/ist/scripts/istsvc_***_data.php"
  "version"
  "account_id"
  "app_date"
  

Если первого из этих ключей не существует, то он генерируется вирусом.

Затем троянец пытается установить интернет-соединение. В случае неудачи работа вредоносной программы завершается. Если же подключение произведено успешно, происходит скачивание файла «istsvc.exe», расположенного по адресу: http://install.***toolbar.com/ist/softwares/addins/istsvc.exe — имеет размер 21504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pd

Загруженный файл сохраняется во временном каталоге текущего пользователя:

%Documents and Settings%\%Current_user%\Local Settings\Temp\istsvc.exe

Далее троянец создает каталог «%Program Files%\ISTsvc», копирует в него файл «istsvc.exe» и запускает его на исполнение. После этого вирус удаляет скачанный файл из временного каталога и завершает свою работу.

Другие названия

Trojan-Downloader.Win32.IstBar.bo («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.IstBar.bo («Лаборатория Касперского»), Trojan.Isbar.40960 (Doctor Web), Troj/Istbar-BO (Sophos), TrojanDownloader:Win32/IstBar.CE (RAV), TROJ_ISTBAR.CE (Trend Micro), TR/Dldr.IstBar.BO (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Istbar.BX (Grisoft), Trojan.Downloader.IstBar.BO (SOFTWIN), Trojan.Downloader.IstBar.BO (ClamAV), Spyware/ISTbar (Panda), Win32/TrojanDownloader.IstBar.CE (Eset)