Trojan-Downloader.Win32.IstBar.pj

Материал из Total Malware Info

Перейти к: навигация, поиск

Trojan-Downloader.Win32.IstBar.pj Троянская программа, которая без ведома пользователя загружает файлы из Интернет и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 11 264 байта. Упакована при помощи UPX. Размер распакованного файла около 24 КБ. Язык написания С++.

Инсталляция

При запуске троянская программа создает ключ системного реестра: 

[HKCU\Software\IST]
"Recover"

Для автоматического запуска при следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"aLogy7Fha"="%путь_откуда_был_запущен_троянец%" (имя ключа генерируется случайно)

Деструктивная активность

Данная троянская программа предназначена для восстановления других троянцев семейства (например, в случае ошибок при работе Trojan-Downloader.Win32.IstBar.pk скачивает и запускает его). После запуска программа проверяет в системном реестре наличие ключей: 

[HKCU/Software/IST]
NeverInstall
NeverISTsvc

Наличие этих ключей свидетельствует о том, что в системе был установлен один из троянцев семейства, но он был корректно деинсталлирован. В этом случае работа программы прекращается. Если ни один из этих ключей не найден, то троянец проверяет наличие файла "istsvc.exe" расположенного в каталоге программ Windows: 

%ProgramFiles%\ISTsvc\istsvc.exe

Если файл есть, то он запускается, а данный троянец получает и обрабатывает сообщения об ошибках от него. Если файла нет, то происходит обращение в Интернет к файлу "istsvc_recover_update.php", расположенному по адресу: 

http://www.******.com/ist/scripts/istsvc_recover_update.php

Данный PHP-сценарий перенаправляет на файл "istsvc_updater.exe" (19 968 байт, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pk). Скачанный файл сохраняется во временный каталог текущего пользователя под таким же именем: 

%Documents and Settings%\%Current_user%\Local Settings\Temp\istsvc_updater.exe

Если скачать файл не удалось, троянец выдерживает десятиминутную паузу и повторяет попытку. В случае удачного завершения процесса скачивания файл копируется в каталог программ Windows в специально созданную папку: 

%ProgramFiles%\ISTsvc\istsvc.exe

После чего запускается на выполнение. Файл из временного каталога удаляется. После всех процедур троянец продолжает работать параллельно с восстановленным, обрабатывая системные сообщения от него.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить скачанный троянцем файл:
    3. %ProgramFiles%\ISTsvc\istsvc.exe
  3. Удалить файл из временного каталога текущего пользователя, если троянец не сделает этого сам:
    4. %Documents and Settings%\%Current_user%\Local Settings\Temp\istsvc_updater.exe
  4. Удалить ключи системного реестра:
    5. [HKCU\Software\IST]
"Recover"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"aLogy7Fha"="%путь_откуда_был_запущен_троянец%"
Источник — «http://www.totalmalwareinfo.com/rus/Trojan-Downloader.Win32.IstBar.pj»
Язык
© 2010 ООО «Лаборатория дизайн и тест». Все права защищены.