Trojan-Downloader.Win32.IstBar.jm

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.IstBar.jm Троянская программа, которая загружает файлы из интернет без ведома пользователя и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 10 752 байта. Упакована при помощи UPX. Размер распакованного файла около ~ 48 КБ. Написана на С++.

Инсталляция

После запуска троянская программа создает в системном реестре ключи: 

[HKLM\Software\SideFind]
"account_id"="0"
"PathBHO"="%ProgramFiles%\SideFind\sfbho.dll"
"PathDLL"="%ProgramFiles%\SideFind\sidefind.dll"
"PathXML"="%ProgramFiles%\SideFind\sfexd001"
"PathEXE"="%ProgramFiles%\Sidefind\update\sidefind.exe"
"InstallDate"="%current_date_and_time%" (в формате yyyy-mm-dd hh:mm:ss)

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SideFind]
"DisplayName"="SideFind"
"UninstallString"="\"\" /remove"

И копирует свое тело в каталог: 

%ProgramFiles%\Sidefind\update\sidefind.exe

Деструктивная активность

В случае запуска троянца с параметром "/remove" программа удаляет себя из системы, отправляя сообщение на адрес: 

http://www.******.com/ist/scripts/log_uninstalls.php?type=sidefind&account_id=0&install_date=%current_date_and_time%

Если параметры не были указаны, то вредоносная программа получает путь к каталогу программ Windows и создает в нем ряд своих каталогов: 

%ProgramFiles%\SideFind\update

Затем подключается к Интернет и получает файл "sfexd001.php" с настройками, регламентирующими работу троянца: Файл расположен по адресу: 

http://cache.******nd.com/ist/softwares/sidefind/sfexd001.php (75 110 байт)

Файл сохраняется в созданной троянцем папке: 

%ProgramFiles%\SideFind\sfexd001

После чего скачивает во временную папку текущего пользователя файлы "sfbho13.dll" (96 256 байт, детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.SideFind) и "sidefind13.dll" (89 600 байт, детектируется Антивирусом Касперского так же, как и в предыдущем случае как not-a-virus:AdWare.Win32.SideFind): 

%Documents and Settings%\%Current_user%\Local Settings\Temp\sfbho13.dll
%Documents and Settings%\%Current_user%\Local Settings\Temp\sidefind13.dll

Файлы скачиваются с адресов: 

http://cache.******nd.com/ist/softwares/sidefind/v1.3/sfbho13.dll
http://cache.******nd.com/ist/softwares/sidefind/v1.3/sidefind13.dll

После удачного скачивания, библиотеки копируются в каталог, созданный троянцем под именами "sfbho.dll" и "sidefind.dll": 

%ProgramFiles%\Sidefind\sfbho.dll
%ProgramFiles%\Sidefind\sidefind.dll

Загружает функции библиотек. Создает ключи системного реестра: 

[HKLM\Software\SideFind]
"SearchSite"="http://www.s******d.com/results.php?target=_external&"
"update"="4629e60c"
"ver"="1.3"
"IntervalBetweenShows"="f0"

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить со всем содержимым каталог:
    3. %ProgramFiles%\Sidefind\
  3. Удалить ключи системного реестра:
    4. [HKLM\Software\SideFind]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SideFind]
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.IstBar.jm»
Язык
Видеокурс
Computer and Internet Security Video Tutorials
© 2011 ООО «Лаборатория дизайн и тест». Все права защищены.