Trojan-Downloader.Win32.IstBar.eo
Материал из Total Malware Info
Trojan-Downloader.Win32.IstBar.eo Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 5 632 байта. Упакована при помощи UPX. Размер распакованного файла около ~ 16 КБ. Язык написания С++.
Инсталляция
После запуска троянская программа создает в системном реестре ключи:
[HKLM\Software\SideFind] "account_id"="" "InstallDate"="%current_date_and_time%" (в формате yyyy-mm-dd hh:mm:ss) "PathBHO"="" "PathDLL"="" "PathXML"="" "PathEXE"="" [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SideFind] "DisplayName"="SideFind" "UninstallString"="\"\" /remove"
Деструктивная активность
После запуска вредоносная программа получает путь к каталогу программ Windows и создает в нем ряд своих каталогов:
%ProgramFiles%\SideFind\update
Затем подключается к Интернет и получает файл "sfexd002.php" с настройками, регламентирующими работу троянца: Файл расположен по адресу:
http://www.*******d.com/ist/softwares/sidefind/sfexd002.php (на момент создания описания ссылка не работала)
После чего скачивает во временную папку текущего пользователя файлы "sfbho.dll" (97 280 байт, детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.SideFind) и "sidefind.dll" (90 624 байта, детектируется Антивирусом Касперского так же, как и в предыдущем случае как not-a-virus:AdWare.Win32.SideFind):
%Documents and Settings%\%Current_user%\Local Settings\Temp\sfbho.dll %Documents and Settings%\%Current_user%\Local Settings\Temp\sidefind.dll
Файлы скачиваются со следующих URL:
http://www.*******d.com/ist/softwares/sidefind/sidefind.dll http://www. *******d.com/ist/softwares/sidefind/sfbho.dll
В случае успешного скачивания, копирует файлы в созданный каталог:
%ProgramFiles%\SideFind\update\sfbho.dll %ProgramFiles%\SideFind\update\sidefind.dll
Файлы во временном каталоге удаляются. После чего копирует свое тело под именем "SideFind.exe" в созданный каталог:
%ProgramFiles%\SideFind\update\SideFind.exe
Затем троянец запускает скопированный файл, а свой процесс завершает. Запущенный процесс "SideFind" через определенные промежутки времени скачивает новый конфигурационный файл с настройками. В этих настройках указываются адреса в Интернет, с которых будут качаться и запускаться другие вредоносные программы, а так же интервал, через который происходит скачивание нового конфигурационного файла. В случае запуска программы с параметром "/remove" троянец удаляет себя из системы (но не удаляет скачанное вредоносное ПО).
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи «Диспетчера задач» завершить троянский процесс (его имя зависит от имени исполнимого файла троянца, в данном случае это "SideFind.exe").
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы и папки:
- Удалить файлы (если троянская программа сама не удалит их):
- Удалить ключи системного реестра:
%ProgramFiles%\SideFind\update\SideFind.exe %ProgramFiles%\SideFind\update\sfbho.dll %ProgramFiles%\SideFind\update\sidefind.dll %ProgramFiles%\SideFind\update
%Documents and Settings%\%Current_user%\Local Settings\Temp\sfbho.dll %Documents and Settings%\%Current_user%\Local Settings\Temp\sidefind.dll
[HKLM\Software\SideFind] "account_id"="" "InstallDate"="%current_date_and_time%" "PathBHO"="" "PathDLL"="" "PathXML"="" "PathEXE"="" [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SideFind] "DisplayName"="SideFind" "UninstallString"="\"\" /remove"
