Trojan-Downloader.Win32.IstBar.pk

Материал из Total Malware Info

Trojan-Downloader.Win32.IstBar.pk Троянская программа, которая без ведома пользователя загружает файлы из Интернет и запускает их. Программа является приложением Windows (PE EXE-файл). Размер упакованного файла 19 968 байт. Упакована при помощи UPX. Размер распакованного файла около 52 КБ. Язык написания С++.

Деструктивная активность

Троянская программа, обновляющая другие троянские программы семейства (например, Trojan-Downloader.Win32.IstBar.pd). После запуска троянец проверяет, возможно ли установить связь с Интернет, путем запроса про адресу:

http://www.sur******acy.com/sacc/feedback_recup_pre1140.php

Если установить связь невозможно – прекращает работу. В противном случае троянец проверяет, установлены ли в системе троянцы семейства. Для этого читаются следующие ключи системного реестра:

[HKLM/Software/ISTsvc]
account_id

[HKLM/Software/SAcc]
account_id

[HKCU/Software/IST]
account_id

[HKCU/Software/ISTbar/ISTbar]
account_id

Если ни одного ключа не обнаружено, то вредоносная программа скачивает файл "istrecover.exe" (11 264 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pj) расположенного по адресу:

http://cache*******.com/ist/softwares/istrecover/istrecover.exe

Файл сохраняется во временную папку текущего пользователя под именем "%rnd%.exe" (где %rnd% - 8 случайных букв, например "krrfcgth.exe"):

%Documents and Settings%\%current_user%\Local Settings\Temp\%rnd%.exe

После скачивания файл с тем же именем копируется в каталог Windows:

%WinDir%/%rnd%.exe

Затем файл запускается и удаляется из временного каталога текущего пользователя. В результате работы скачанной вредоносной программы будет загружен файл "istsvc.exe" (21 504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pd) и запускает его. В результате чего восстанавливается ключ реестра:

[HKLM/Software/ISTsvc]
account_id

(более старые версии будут восстанавливать другие ключи, указанные выше) Скачанная программа будет сохранена в каталоге программ Windows:

%ProgrammFiles%\ISTsvc\istsvc.exe

После восстановления файла "istsvc.exe" описываемая вредоносная программа создает ключ реестра:

[HKLM\Software\ISTsvc]
"config_interval"="1E"

После этих действий троянец ожидает обращения от процесса "istsvc.exe" и скачивает новые версии с задаваемых URL. Параллельно с этим происходит скачивание файла "SAcc.exe" (116 224 байта, детектируется Антивирусом Касперского как not-a-virus:AdWare.Win32.SurfAccuracy.t) расположенного по адресу:

http://www.sur******acy.com/sacc/updater.php?f=sacc

Файл скачивается во временную папку текущего пользователя под именем "SAcc.prod.v1190.15fev2007.exe.acdec9dc7509ffcd5aeeb1e6095ec5b5"

%Documents and Settings%\%current_user%\Local Settings\Temp\SAcc.prod.v1190.15fev2007.exe.acdec9dc7509ffcd5aeeb1e6095ec5b5

После чего файл копируется в специально созданную для него папку в каталоге программ Windows под именем "SAcc.exe":

%ProgramFiles%\SAcc\SAcc.exe

Далее скопированный файл запускается, а файл из временного каталога пользователя удаляется. После этого троянец собирает информацию о скачанных за время работы троянских программах и операционной системе пользователя и отправляет ее злоумышленнику в качестве параметров PHP-сценария, расположенного по адресу:

http://www.******.com/ist/scripts/istsvc_updatelog.php

(например так: http://www.******.com/ist/scripts/istsvc_updatelog.php?version=1029&old_version=999&istsvc=5&istrecover=3&sacc=2&account_id=14129&soft=&rversion=0&nr=0&nd=0&vinfo=Windows NT Workstation 5.1 Buildnumber : 2600 Service Pack 1)

Trojan-Downloader.Win32.IstBar.pk

Материал из Total Malware Info

Деструктивная активность

Рекомендации по удалению

Язык

Навигация

Поиск

Видеокурс