Trojan-Downloader.Win32.IstBar.du

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.IstBar.du Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 12 288 байт. Упакована при помощи UPX. Размер распакованного файла около ~ 56 КБ. Написана на С++.

Деструктивная активность

  • После запуска троянец проверяет ключ системного реестра:
    • [HKCU\Software\IST]
"NeverInstall"

Если такой ключ есть, то троянская программа прекращает работу В противном случае проверяет ключ системного реестра: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"BandRest"

Если такого ключа нет, то троянская программа создает два ключа с параметром "Never": 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"BandRest"="Never"

[HKLM\Software\Microsoft\Internet Explorer\Main]
"BandRest"="Never"

После этого устанавливает соединение с Интернет и читает файл "ist_show.php" с адреса: 

http://install********bar.com/ist/scripts/ist_show.php

Затем проверяет ключ системного реестра: 

[HKCU\Software\IST]
"InstallDate"

Если такого ключа нет, то троянец создает ключ: 

HKCU\Software\IST
"InstallDate"="2007-04-16 17:20:17"
"account_id"="0"

Далее ищет ключ: 

[HKCU\Software\ISTsvc]

Проверяет, есть ли в системе уникальный идентификатор "ISTsvcMUTEX" Если есть, завершает процесс, создавший его, а затем скачивает во временную папку текущего пользователя файл "istsvc.exe" (21 504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pd), расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/istsvc.exe

Создает каталог: 

%ProgramFiles%\ISTsvc

Копирует файл "istsvc.exe" в созданную папку и запускает его. После чего удаляет файл из временного каталога: 

%Documents and Settings%\%current_user%\Local Settings\Temp\istsvc.exe

Затем получает версию запущенного троянца, читая ключ: 

[HKLM\Software\ISTsvc]
"version"

Если текущая версия старше или равна "3F1h", то скачивает и запускает файл "istsvc_updater.exe" (19 968 байт, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pk), расположенный по адресу: 

http://install********bar.com/ist/softwares/istupdates/istsvc_updater.exe

Этот троянец обновит "istsvc.exe" до актуальной версии. Затем троянская программа выполняет следующие действия:

  • Читает ключ системного реестра:
    • [HKLM\Software\Lycos\SideSearch]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "lycos_ss.exe" (5 632 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.eo), расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/lycos_ss.exe

И запускает его.

  • Читает ключ системного реестра:
    • [HKLM\Software\KeywordsInc]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "keywordsinc.exe" (140 148 байт, детектируется Антивирусом Касперского как Trojan-Downloader.NSIS.Agent.h), расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/keywordsinc.exe

И запускает его.

  • Читает ключ системного реестра:
    • [HKLM\Software\Avenue Media\Internet Optimizer]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "optimize.exe", расположенный по одному из адресов: 

http://install********bar.com/ist/softwares/addins/optimize.exe (на момент создания описания ссылка не работала)
http://cdn.cl*******ks.com/internet-optimizer/br/wsi12/optimize.exe (на момент создания описания ссылка не работала)
http://cdn.cl*******ks.com/internet-optimizer/br/wsi24/optimize.exe (на момент создания описания ссылка не работала)

И запускает его.

  • Читает ключ системного реестра:
    • [HKLM\Software\CommonName]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "cnbabeie.exe", расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/commonname.exe (на момент создания описания ссылка не работала)

И запускает его.

  • Читает ключ системного реестра:
    • [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60E78CAC-E9A7-4302-B9EE-8582EDE22FBF}]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "igetnet.exe" (35 328 байт, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ak), расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/igetnet.exe

И запускает его.

  • Читает ключ системного реестра:
    • [HKLM\Software\Bargains]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "bb.exe", расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/bb.exe (на момент создания описания ссылка не работала)

И запускает его.

  • Читает ключ системного реестра:
    • [HKLM\Software\180Solutions\msbb]

Если такого ключа нет, то читает ключ: 

[HKCU\Software\180Solutions\msbb]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "ncase.exe", расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/ncase.exe (на момент создания описания ссылка 
не работала)

Файл сохраняется под именем "msbb.exe": 

%Documents and Settings%\%current_user%\Local Settings\Temp\msbb.exe

В случае удачного скачивания создает каталог: 

%ProgramFiles%\180Solutions

После чего копирует в него файл "msbb.exe" и запускает с параметром "/did=498" Файл из временного каталога пользователя удаляется.

  • Читает ключ системного реестра:
    • [HKCU\Software\ISTbar\ISTbar]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "istbar.dll" (85 504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kq), расположенный по адресу: 

http://install********bar.com/ist/softwares/toolbars/istbar.dll

В случае удачного скачивания создает каталог: 

%ProgramFiles%\ISTbar

После чего копирует в него "istbar.dll" и загружает эту библиотеку (PLUG-IN для Internet Explorer). Файл из временного каталога пользователя удаляется.

  • Читает ключ системного реестра:
    • [HKCU\Software\PowerScan]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "powerscan_downloadplus.exe", расположенный по адресу: 

http://install********bar.com/ist/softwares/power/powerscan_downloadplus.exe (на момент создания описания ссылка не работала)

Файл сохраняется под именем "powerscan.exe": 

%Documents and Settings%\%current_user%\Local Settings\Temp\powerscan.exe

В случае удачного скачивания создает каталог: 

%ProgramFiles%\Power Scan\

После чего копирует в него "powerscan.exe". Для автоматического запуска скачанного троянца добавляет ключ автозапуска системного реестра: [HKLM/Software\Microsoft\Windows\CurrentVersion\Run] 

"Power Scan%ProgramFiles%\Power Scan\powerscan.exe

Создает ключ системного реестра: 

[HKCU\Software\PowerScan]
account_id
  • Читает ключ системного реестра:
    • [HKCU\Software\StatBlaster]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "statblaster.exe" (59 904 байта, детектируется Антивирусом Касперского как Trojan.Win32.Revop.c), расположенный по адресу: 

http://install********bar.com/ist/softwares/addins/statblaster.exe

Файл сохраняется под именем "sbinstall.exe": 

%Documents and Settings%\%current_user%\Local Settings\Temp\sbinstall.exe

Затем скачанный файл запускается. После завершения работы – удаляется.

  • Читает ключ системного реестра:
    • [HKLM\Software\Dbi]
  • Если такого ключа нет, то читает ключ:
    • [HKLM\Software\twaintec]
  • Если такого ключа нет, то скачивает во временную папку текущего пользователя файл " bdl14173.exe", расположенный по ссылке:
    • http://install********bar.com/ist/softwares/addins/better.exe (на момент создания описания ссылка не работала)

Затем скачанный файл запускается, а по завершении работы удаляется.

  • Читает ключ системного реестра:
    • [HKLM\Software\Golden Palace Casino PT]

Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "bridge.exe" (3 584 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.en), расположенный по адресу: 

http://install********bar.com/ist/softwares/golden/bridge.exe

Затем скачанный файл запускается.

  • Меняет стартовую страницу браузера Internet Explorer:

Текущую страницу копирует в: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page_bak"="%Start_page"

Создает новую стартовую страницу: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.******.com/?&account_id=%account_id%"
  • Добавляет ключ системного реестра:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Bar"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
  • Меняет страницу поиска браузера Internet Explorer:

Текущую страницу копирует в: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page_bak"="%Search_Page%"

создает новую поисковую страницу: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
  • Меняет помощь при поиске:
    • [HKCU\Software\Microsoft\Internet Explorer\Main]
"Use Search Assistant"="no"

[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
  • Отправляет информацию о зараженном компьютере в качестве параметров PHP-сценария:
    • http://install********bar.com/ist/scripts/ist_install.php?ist_installed=3&istbar_installed=123606444&bb_installed=0&ncase_installed=0&ss_installed=1237412&sb_installed=0&power_installed=1241452&kw_installed=7&whenu_installed=855820&cn=1236008&io=57803&ign=0&euni=0&gold=46340&account_id=6&download_key=&download_lock=1&vinfo=Windows NT Workstation 5.1 Buildnumber :  2600 Service Pack 1
  • Скачивает во временную папку текущего пользователя файл "ist_shortcuts_list.php", расположенный по адресу:
    • http://install********bar.com/ist/scripts/ist_shortcuts_list.php
  • Файл сохраняется под именем "shortcuts.txt":
    • %Documents and Settings%\%current_user%\Local Settings\Temp\shortcuts.txt

После чего добавляет содержащиеся в нем ссылки в Favorites.

  • Скачивает во временную папку текущего пользователя файл "dating.exe", расположенный по адресу:
    • http://204.******.193/dd/index_dt.jhtml?pin=16015

После успешного скачивания файл запускается.

  • Скачивает во временную папку текущего пользователя файл "sexy_download.exe", расположенный по адресу:
    • http://install********bar.com/ist/softwares/addins/sexy_download.exe

После успешного скачивания файл запускается.

  • Скачивает во временную папку текущего пользователя файл "euniverse.exe", расположенный по адресу:
    • http://install********bar.com/ist/softwares/addins/euniverse.exe

После успешного скачивания файл запускается.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить ключи системного реестра:
    3. [HKCU\Software\IST]

[HKCU\Software\ISTsvc]

[HKLM\Software\ISTsvc]

[HKCU\Software\Microsoft\Internet Explorer\Main]
"BandRest"="Never"
[HKLM\Software\Microsoft\Internet Explorer\Main]
"BandRest"="Never"

[HKLM\Software\Lycos\SideSearch]

[HKLM\Software\KeywordsInc]

[HKLM\Software\Avenue Media\Internet Optimizer]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60E78CAC-E9A7-4302-B9EE-8582EDE22FBF}]

[HKLM\Software\Bargains]

[HKLM\Software\180Solutions\msbb]
[HKCU\Software\180Solutions\msbb]

[HKCU\Software\ISTbar\ISTbar]

[HKCU\Software\PowerScan]

[HKLM\Software\CommonName]

 [HKCU\Software\StatBlaster]

[HKLM\Software\Dbi]

[HKLM\Software\twaintec]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CasProg]

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Use Search Assistant"="no"

[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
  3. Удалить каталоги со всем содержимым:
    4. %ProgramFiles%\ISTsvc
%ProgramFiles%\180Solutions
%ProgramFiles%\ISTbar
%ProgramFiles%\Power Scan\
%Documents and Settings%\%current_user%\Start Menu\Programs\Power Scan
  4. Очистить временный каталог текущего пользователя:
    5. %Documents and Settings%\%current_user%\Local Settings\Temp\
  5. Восстановить стартовую страницу браузера Internet Explorer – удалить созданный троянцем ключ:
    6. [HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.******.com/?&account_id=%account_id%"

Переименовать сохраненную троянцем настоящую стартовую страницу: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page_bak"="%Start_page"

в 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page"="%Start_page"
  1. Восстановить поисковую страницу – удалить созданный троянцем ключ:
    2. [HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"

Переименовать сохраненную троянцем настоящую стартовую страницу: 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page_bak"="%Search_Page%"

в 

[HKCU\Software\Microsoft\Internet Explorer\Main]
"Search Page"="%Search_Page%"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.IstBar.du»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.