Trojan-Downloader.Win32.IstBar.bo

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.IstBar.bo Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 8 704 байта. Упакована при помощи UPX. Размер распакованного файла около ~ 40 КБ. Написана на С++.

Деструктивная активность

После запуска троянская программа ищет в системном реестре следующие ключи: 

[HKLM\Software\ISTsvc]
"popup_url"="http://www.******.com/ist/scripts/istsvc_ads_data.php"
"version"
"account_id"
"app_date"

Если ключа: 

[HKLM\SOFTWARE\ISTsvc]
"popup_url"="http://www.******.com/ist/scripts/istsvc_ads_data.php"

нет, то он создается. Наличие/отсутствие остальных ключей не приводит к изменению в работе троянца. Пытается создать Интернет-соединение. В случае неудачи завершает работу. В случае успешного подключения скачивает файл "istsvc.exe", расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/istsvc.exe (21 504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pd)

во временный каталог текущего пользователя: 

%Documents and Settings%\%Current_user%\Local Settings\Temp\istsvc.exe

После скачивания ищет окно с именем "ISTsvcWND" и именем класса "MainWClass". Если находит - закрывает. Затем создает каталог "%Program Files%\ISTsvc", копирует в него файл "istsvc.exe" и запускает его. После чего удаляет скачанный файл из временного каталога и завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключи реестра:
    3. [HKLM\Software\ISTsvc]
"popup_url"="http://www.******.com/ist/scripts/istsvc_ads_data.php"
"version"
"account_id"
"app_date"
  3. Удалить со всем содержимым каталог:
    4. Program Files%\ISTsvc
  4. Удалить файл:
    5. %Documents and Settings%\%Current_user%\Local Settings\Temp\istsvc.exe

Если по каким-то причинам троянская программа не удалит его сама.

Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.IstBar.bo»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.