Trojan-Downloader.Win32.IstBar.dv
Материал из Total Malware Info
Trojan-Downloader.Win32.IstBar.dv Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 12 288 байт. Упакована при помощи UPX. Размер распакованного файла около ~ 56 КБ. Написана на С++.
Деструктивная активность
- После запуска троянец проверяет ключ системного реестра:
[HKCU\Software\IST] "NeverInstall"
Если такой ключ есть, то троянская программа прекращает работу В противном случае проверяет ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "BandRest"
Если такого ключа нет, то троянская программа создает два ключа с параметром "Never":
[HKCU\Software\Microsoft\Internet Explorer\Main] "BandRest"="Never" [HKLM\Software\Microsoft\Internet Explorer\Main] "BandRest"="Never"
После этого устанавливает соединение с Интернет и читает файл "ist_show.php" с адреса:
http://install********bar.com/ist/scripts/ist_show.php
Затем проверяет ключ системного реестра:
[HKCU\Software\IST] "InstallDate"
Если такого ключа нет, то троянец создает ключ:
HKCU\Software\IST "InstallDate"="2007-04-16 17:20:17" "account_id"="0"
Далее ищет ключ:
[HKCU\Software\ISTsvc]
Проверяет, есть ли в системе уникальный идентификатор "ISTsvcMUTEX" Если есть, завершает процесс, создавший его, а затем скачивает во временную папку текущего пользователя файл "istsvc.exe" (21 504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pd), расположенный по адресу:
http://install********bar.com/ist/softwares/addins/istsvc.exe
Создает каталог:
%ProgramFiles%\ISTsvc
Копирует файл "istsvc.exe" в созданную папку и запускает его. После чего удаляет файл из временного каталога:
%Documents and Settings%\%current_user%\Local Settings\Temp\istsvc.exe
Затем получает версию запущенного троянца, читая ключ:
[HKLM\Software\ISTsvc] "version"
Если текущая версия старше или равна "3F1h", то скачивает и запускает файл "istsvc_updater.exe" (19 968 байт, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pk), расположенный по адресу:
http://install********bar.com/ist/softwares/istupdates/istsvc_updater.exe
Этот троянец обновит "istsvc.exe" до актуальной версии. Затем троянская программа выполняет следующие действия:
- Читает ключ системного реестра:
[HKLM\Software\Lycos\SideSearch]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "lycos_ss.exe" (5 632 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.eo), расположенный по адресу:
http://install********bar.com/ist/softwares/addins/lycos_ss.exe
И запускает его.
- Читает ключ системного реестра:
[HKLM\Software\KeywordsInc]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "keywordsinc.exe" (140 148 байт, детектируется Антивирусом Касперского как Trojan-Downloader.NSIS.Agent.h), расположенный по адресу:
http://install********bar.com/ist/softwares/addins/keywordsinc.exe
И запускает его.
- Читает ключ системного реестра:
[HKLM\Software\Avenue Media\Internet Optimizer]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "optimize.exe", расположенный по одному из адресов:
http://install********bar.com/ist/softwares/addins/optimize.exe (на момент создания описания ссылка не работала) http://cdn.cl*******ks.com/internet-optimizer/br/wsi12/optimize.exe (на момент создания описания ссылка не работала) http://cdn.cl*******ks.com/internet-optimizer/br/wsi24/optimize.exe (на момент создания описания ссылка не работала)
И запускает его.
- Читает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60E78CAC-E9A7-4302-B9EE-8582EDE22FBF}]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "igetnet.exe" (35 328 байт, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Dyfuca.ak), расположенный по адресу:
http://install********bar.com/ist/softwares/addins/igetnet.exe
И запускает его.
- Читает ключ системного реестра:
[HKLM\Software\Bargains]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "bb.exe", расположенный по адресу:
http://install********bar.com/ist/softwares/addins/bb.exe (на момент создания описания ссылка не работала)
И запускает его.
- Читает ключ системного реестра:
[HKLM\Software\180Solutions\msbb]
Если такого ключа нет, то читает ключ:
[HKCU\Software\180Solutions\msbb]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "ncase.exe", расположенный по адресу:
http://install********bar.com/ist/softwares/addins/ncase.exe (на момент создания описания ссылка не работала)
Файл сохраняется под именем "msbb.exe":
%Documents and Settings%\%current_user%\Local Settings\Temp\msbb.exe
В случае удачного скачивания создает каталог:
%ProgramFiles%\180Solutions
После чего копирует в него файл "msbb.exe" и запускает с параметром "/did=498" Файл из временного каталога пользователя удаляется.
- Читает ключ системного реестра:
[HKCU\Software\ISTbar\ISTbar]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "istbar.dll" (85 504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.kq), расположенный по адресу:
http://install********bar.com/ist/softwares/toolbars/istbar.dll
В случае удачного скачивания создает каталог:
%ProgramFiles%\ISTbar
После чего копирует в него "istbar.dll" и загружает эту библиотеку (PLUG-IN для Internet Explorer). Файл из временного каталога пользователя удаляется.
- Читает ключ системного реестра:
[HKCU\Software\PowerScan]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "powerscan_downloadplus.exe", расположенный по адресу:
http://install********bar.com/ist/softwares/power/powerscan_downloadplus.exe (на момент создания описания ссылка не работала)
Файл сохраняется под именем "powerscan.exe":
%Documents and Settings%\%current_user%\Local Settings\Temp\powerscan.exe
В случае удачного скачивания создает каталог:
%ProgramFiles%\Power Scan\
После чего копирует в него "powerscan.exe". Для автоматического запуска скачанного троянца добавляет ключ автозапуска системного реестра: [HKLM/Software\Microsoft\Windows\CurrentVersion\Run]
"Power Scan%ProgramFiles%\Power Scan\powerscan.exe
Создает ключ системного реестра:
[HKCU\Software\PowerScan] account_id
- Читает ключ системного реестра:
[HKCU\Software\StatBlaster]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "statblaster.exe" (59 904 байта, детектируется Антивирусом Касперского как Trojan.Win32.Revop.c), расположенный по адресу:
http://install********bar.com/ist/softwares/addins/statblaster.exe
Файл сохраняется под именем "sbinstall.exe":
%Documents and Settings%\%current_user%\Local Settings\Temp\sbinstall.exe
Затем скачанный файл запускается. После завершения работы – удаляется.
- Читает ключ системного реестра:
[HKLM\Software\Dbi]
[HKLM\Software\twaintec]
http://install********bar.com/ist/softwares/addins/better.exe (на момент создания описания ссылка не работала)
Затем скачанный файл запускается, а по завершении работы удаляется.
- Читает ключ системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CasProg]
Если такого ключа нет, то скачивает во временную папку текущего пользователя файл "bridge.exe" (3 584 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.Small.en), расположенный по адресу:
http://install********bar.com/ist/softwares/golden/bridge.exe
Затем скачанный файл запускается.
- Меняет стартовую страницу браузера Internet Explorer:
Текущую страницу копирует в:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page_bak"="%Start_page"
Создает новую стартовую страницу:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.******.com/?&account_id=%account_id%"
- Добавляет ключ системного реестра:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Bar"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
Текущую страницу копирует в:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page_bak"="%Search_Page%"
создает новую поисковую страницу:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
- Меняет помощь при поиске:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Use Search Assistant"="no" [HKCU\Software\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
http://install********bar.com/ist/scripts/ist_install.php?ist_installed=3&istbar_installed=123606444&bb_installed=0&ncase_installed=0&ss_installed=1237412&sb_installed=0&power_installed=1241452&kw_installed=7&whenu_installed=855820&cn=1236008&io=57803&ign=0&euni=0&gold=46340&account_id=6&download_key=&download_lock=1&vinfo=Windows NT Workstation 5.1 Buildnumber : 2600 Service Pack 1
http://install********bar.com/ist/scripts/ist_shortcuts_list.php
%Documents and Settings%\%current_user%\Local Settings\Temp\shortcuts.txt
После чего добавляет содержащиеся в нем ссылки в Favorites.
- Скачивает во временную папку текущего пользователя файл "dating.exe", расположенный по адресу:
http://204.******.193/dd/index_dt.jhtml?pin=16015
После успешного скачивания файл запускается.
- Скачивает во временную папку текущего пользователя файл "sexy_download.exe", расположенный по адресу:
http://install********bar.com/ist/softwares/addins/sexy_download.exe
После успешного скачивания файл запускается.
- Скачивает во временную папку текущего пользователя файл "euniverse.exe", расположенный по адресу:
http://install********bar.com/ist/softwares/addins/euniverse.exe
После успешного скачивания файл запускается.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить ключи системного реестра:
- Удалить каталоги со всем содержимым:
- Очистить временный каталог текущего пользователя:
- Восстановить стартовую страницу браузера Internet Explorer – удалить созданный троянцем ключ:
[HKCU\Software\IST]
[HKCU\Software\ISTsvc]
[HKLM\Software\ISTsvc]
[HKCU\Software\Microsoft\Internet Explorer\Main]
"BandRest"="Never"
[HKLM\Software\Microsoft\Internet Explorer\Main]
"BandRest"="Never"
[HKLM\Software\Lycos\SideSearch]
[HKLM\Software\KeywordsInc]
[HKLM\Software\Avenue Media\Internet Optimizer]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60E78CAC-E9A7-4302-B9EE-8582EDE22FBF}]
[HKLM\Software\Bargains]
[HKLM\Software\180Solutions\msbb]
[HKCU\Software\180Solutions\msbb]
[HKCU\Software\ISTbar\ISTbar]
[HKCU\Software\PowerScan]
[HKCU\Software\StatBlaster]
[HKLM\Software\Dbi]
[HKLM\Software\twaintec]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\CasProg]
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Use Search Assistant"="no"
[HKCU\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
%ProgramFiles%\ISTsvc %ProgramFiles%\180Solutions %ProgramFiles%\ISTbar %ProgramFiles%\Power Scan\ %Documents and Settings%\%current_user%\Start Menu\Programs\Power Scan
%Documents and Settings%\%current_user%\Local Settings\Temp\
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.******.com/?&account_id=%account_id%"
Переименовать сохраненную троянцем настоящую стартовую страницу:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page_bak"="%Start_page"
в
[HKCU\Software\Microsoft\Internet Explorer\Main] "Start Page"="%Start_page"
- Восстановить поисковую страницу – удалить созданный троянцем ключ:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://www.cou******ind.com/search_page.html?&account_id=%account_id%"
Переименовать сохраненную троянцем настоящую стартовую страницу:
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page_bak"="%Search_Page%"
в
[HKCU\Software\Microsoft\Internet Explorer\Main] "Search Page"="%Search_Page%"
