Trojan-Downloader.Win32.IstBar.dx
Материал из Total Malware Info
Trojan-Downloader.Win32.IstBar.dx Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 9 728 байт. Упакована при помощи UPX. Размер распакованного файла около ~ 28 КБ. Написана на С++.
Инсталляция
После первого запуска программа копирует свое тело под именем "ISTSVC.EXE" в каталог программ Windows^
%ProgramFiles%\ISTsvc\ISTSVC.EXE
Для автоматического запуска программа добавляет ссылку на свой исполнимый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "IST Service"="%ProgramFiles%\ISTsvc\istsvc.exe"
Кроме того, создает ключи реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc] "DisplayName"="ISTsvc" "UninstallString"="%ProgramFiles%\ISTSVC\ISTSVC.EXE /remove" "NoModify"="1"
Деструктивная активность
Программа пытается подсоединиться к сети Интернет и скачать файл "istsvc_config.php" расположенный по адресу:
http://www.****.com/ist/scripts/istsvc_config.php
Если подключиться к Интернет не удается, то попытка будет повторена через час. В этом файле хранятся настройки, регламентирующие работу троянца. В качестве настроек выступают следующие параметры:
- Имя, под которым троянец будет установлен в систему (троянец будет менять так же ссылки на новое название исполнимого файла в системном реестре)
- Интервал, через который будет показываться всплывающее окно в браузере Internet Explorer
- Интервал, через который будет показано всплывающее окно в первый раз после старта Internet Explorer
- Адрес, который будет открываться во всплывающем окне
- Интервал, через который троянец будет пытаться обновляться
- Версия обновления, доступная в данный момент (на момент загрузки конфигурационного файла)
- Адрес, с которого будет загружено обновление троянца
- Интервал, через который следует загружать новый конфигурационный файл
- Адрес, с которого будет загружен конфигурационный файл
Данные, прочитанные из конфигурационного файла, а так же некоторые другие хранятся в специальном ключе реестра:
[HKLM\Software\ISTsvc] "version"="000003f2" "app_name"="istsvc.exe" "popup_url"="http://www*****com/ist/scripts/istsvc_ads.php" "update_url"="http://cach*****.com/ist/softwares/istupdates/istsvc_updater.exe" "config_url"="http://www*****com/ist/scripts/istsvc_config.php" "popup_initial_delay"="00000258" "popup_count"="0" "update_count"="0" "update_version"="00000403" "config_count"="1" "account_id"="0" "app_date"="0" "popup_interval"="00015180" "popup_last"="0" "update_interval"="0000003c" "update_last"="14,c8,35,ab,09,75,c7,01" "config_interval"="00015180" "config_last"="14,c8,35,ab,09,75,c7,01"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить каталог:
%ProgramFiles%\ISTsvc\
со всем содержимым (имя, под которым троянец будет установлен в системе может меняться, в зависимости от данных из конфигурационного файла)
- Удалить ключи системного реестра
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "IST Service"="%ProgramFiles%\ISTsvc\%имя_троянца%" [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc] "DisplayName"="ISTsvc" "UninstallString"="%ProgramFiles%\ISTSVC\%имя_троянца% /remove" "NoModify"="1" [HKLM\Software\ISTsvc] "version"="000003f2" "app_name"="%имя_троянца%" "popup_url"="http://www*****com/ist/scripts/istsvc_ads.php" "update_url"="http://cach*****.com/ist/softwares/istupdates/istsvc_updater.exe" "config_url"="http://www*****com/ist/scripts/istsvc_config.php" "popup_initial_delay"="00000258" "popup_count"="0" "update_count"="0" "update_version"="00000403" "config_count"="1" "account_id"="0" "app_date"="0" "popup_interval"="00015180" "popup_last"="0" "update_interval"="0000003c" "update_last"="14,c8,35,ab,09,75,c7,01" "config_interval"="00015180" "config_last"="14,c8,35,ab,09,75,c7,01"
