O hakerach

Dowiedz się o nowościach związanych z tematem Hakerzy

O Spamie

Co to jest spam? Jakie są najnowsze informacje dotyczące spamu. Zajrzyj tutaj

Poziomy Zagrożenia Epidemią Wirusów

Zastanawiasz się co oznaczają poszczególne poziomy aktywności wirusów? Zajrzyj tutaj

Strona Główna / Wirusy / Opisy złośliwego oprogramowania / Konie trojańskie

Trojan-Downloader.Win32.IstBar.ij

Inne wersje: .gen, .mx, .nj, .ay, .bo, .ah,

Wykrywany od	21 marca 2006
Data dodania opisu	5 lipca 2006
Klasyfikacja	Konie trojańskie

Szczegóły Techniczne

Jest to trojan pobierający z Internetu inne szkodliwe programy bez wiedzy i zgody użytkownika zainfekowanego komputera. Trojan powstał przy użyciu środowiska programistycznego Visual C++ i ma postać pliku PE EXE o rozmiarze 10 240 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 20 KB).

Instalacja

Trojan instaluje się z losową, maksymalnie sześcioznakową nazwą:

%WinDir%\(do 6 losowych symboli).exe

Po uruchomieniu trojan szuka w rejestrze własnego wpisu w kluczu:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

Jeżeli wpis ten nie zostanie odnaleziony, trojan dodaje do klucza następującą wartość:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"(losowe symbole)"="%WinDir%\(do 6 losowych symboli).exe"

W ten sposób trojan zapewnia sobie uruchamianie wraz z każdym startem systemu Windows.

Szkodnik tworzy także następujący klucz rejestru:

[HKCU\Software\IST]
"account_id"="dword:00000000"
"config"=""
"exe_start"="dword:00000001"
"InstallDate"="%data% %czas%"

W celu oznaczenia zainfekowanego komputera trojan tworzy unikatowy identyfikator ISTrecoverMTX.

Funkcje trojana

Trojan pobiera z poniższego adresu URL inne szkodliwe programy bez wiedzy i zgody użytkownika zainfekowanego komputera:

http://www.ysbweb.com

Pobrane pliki są zapisywane i uruchamiane na zainfekowanym komputerze:

%Program Files%\ISTsvc\istsvc.exe
%Temp%\(do 6 losowych symboli).exe

Pobierane przez trojana pliki są wykrywane przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.IstBar.gen oraz Trojan-Downloader.Win32.IstBar.mx.

Trojan tworzy w rejestrze systemowym następujące klucze:

[HKLM\Software\ISTsvc]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
"UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
"NoModify"="dword:00000001"

[HKLM\Software\SAcc]
"accid"="104"
"subaccid"="0"
"Version"="dword:0x480"
"InstallDate"="dword:0x44002606"
"DbgInfo"=""
"CfgReloadAttempts"="dword:00000001"

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z systemu należy wykonać następujące operacje:

Przy użyciu Menedżera zadań zamknąć następujące procesy:
```
(do 6 losowych symboli).exe
Sacc.exe
istsvc.exe
```
Usunąć z rejestru następujące klucze:
- [HKCU\Software\IST]
- [HKCU\Software\ISTsvc]
- [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
- [HKLM\Software\SAcc]
Usunąć z rejestru następujący wpis:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "(losowe symbole)"="%WinDir%\(do 6 losowych symboli).exe"

Usunąć z dysku następujące pliki pobrane przez trojana:

%WinDir%\(do 6 losowych symboli).exe
%Program Files%\ISTsvc\istsvc.exe
%Temp%\(do 6 losowych symboli).exe

Przeprowadzić pełne skanowanie komputera (w tym celu można skorzystać z wersji testowej programu Kaspersky Anti-Virus).

Inne znane nazwy szkodnika

Trojan.Isbar.214 (Doctor Web), TR/Dldr.IstBar.IJ.1 (H+BEDV), Spyware/ISTbar (Panda), Win32/TrojanDownloader.IstBar.gen (Eset)

Email: webmaster@kaspersky.pl

Wszystkie zagrożenia

Wirusy

Hakerzy

Spam

Trojan-Downloader.Win32.IstBar.ij