Strona Główna /
Wirusy / Opisy złośliwego oprogramowania / Konie trojańskieTrojan-Downloader.Win32.IstBar.mx
Inne wersje: .gen, .ij, .nj, .ay, .bo, .ah,
| Wykrywany od | 4 listopada 2005 |
| Data dodania opisu | 7 lipca 2006 |
| Klasyfikacja | Konie trojańskie |
Jest to trojan pobierający z Internetu inne szkodliwe programy bez wiedzy i zgody użytkownika zainfekowanego komputera. Trojan powstał przy użyciu środowiska programistycznego Visual C++ i ma postać pliku PE EXE o rozmiarze 18 944 bajtów (kompresja UPX, rozmiar po rozpakowaniu - około 45 KB).
Instalacja
Trojan instaluje się z losową, maksymalnie sześcioznakową nazwą:
%Temp%\<6 random symbols>.exe
W celu oznaczenia zainfekowanego komputera trojan tworzy unikatowy identyfikator ISTsvcMUTEX.
Funkcje trojana
Szkodnik pobiera inne trojany z adresu http://c***e.ysbweb.com/ist/softwares/istrecover, zapisuje je do foldera tymczasowego z losowymi nazwami (%Temp%\(5 losowych symboli).exe) i uruchamia. Pobierane pliki są wykrywane przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.IstBar.ij.
Szkodnik pobiera także trojana z adresu http://c***e.ysbweb.com/ist/softwares/addins, zapisuje w folderze tymczasowym (%Temp%\ istsvc.exe) i uruchamia. Plik ten jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.IstBar.gen.
Trojan tworzy następujące klucze w rejestrze systemowym:
- [HKLM\Software\ISTsvc]
"version"="dword:0x400"
"app_name"="istsvc.exe"
"popup_url"="http://www.ysbweb.com/ist/scripts/istsvc_ads_data.php"
"update_url"= "http://cache.ysbweb.com/ist/softwares/istupdates/istsvc_updater.exe"
"ui"="DF4505D4-D43C-4bd0-A6B0-07EF0A8C6637"
"popup_initial_delay"="dword:0x258"
"popup_count"="dword:00000000"
"popup_day_count"="dword:00000000"
"popup_day_limit"="dword:00000001"
"update_count"="dword:00000000"
"update_version"="dword:0x400"
"account_id"="dword:00000002"
"app_date"="qword:7e 99 cd db 4a 45 c6 01"
"popup_interval"="dword:0x2a30"
"popup_last"="qword:00 00 00 00 00 00 00 00"
"update_interval"="dword:0x15180"
"update_last"="qword:7e 99 cd db 4a 45 c6 01"
"config_interval"="dword:0x69780"
"config_last"="dword:2e dc af 2d 4c 45 c6 01"
-
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
"UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
"NoModify"="dword:00000001"
Usuwanie szkodnika z zainfekowanego systemu
W celu usunięcia szkodnika z systemu należy wykonać następujące operacje:
- Przy użyciu Menedżera zadań zamknąć następujące procesy:
(5 losowych symboli).exe
istsvc.exe
(6 losowych symboli).exe
- Usunąć z rejestru następujące klucze:
[HKCU\Software\IST]
[HKCU\Software\ISTsvc]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
[HKLM\Software\SAcc]
- Usunąć z dysku pliki pobrane przez trojana oraz foldery, w których zostały one zapisane:
%WinDir%\(6 losowych symboli).exe
%Program Files%\ISTsvc\istsvc.exe
%Temp%\(6 losowych symboli).exe
- Przeprowadzić pełne skanowanie komputera (w tym celu można skorzystać z wersji testowej programu Kaspersky Anti-Virus).
| Inne znane nazwy szkodnika |
Trojan.Isbar.332 (Doctor Web), TSPY_ISTBAR.GEN (Trend Micro), TR/Dldr.IstBar.JT.4 (H+BEDV), Downloader.Istbar.ED (Grisoft), Trojan.Downloader.Istbar.JT (SOFTWIN), Adware/IST.ISTBar (Panda), Win32/TrojanDownloader.IstBar (Eset)
|
|
Copyright © 1997 - 2010 Kaspersky Lab
Kaspersky Lab Polska Sp. z o.o.
ul. Krótka 27a 42-200 Częstochowa
tel./fax +48 34 3681814, 3681815, 3671220
|
Email: webmaster@kaspersky.pl |
|
