Trojan-Downloader.Win32.IstBar.mx

Instalacja

Trojan instaluje się z losową, maksymalnie sześcioznakową nazwą:

%Temp%\<6 random symbols>.exe

Funkcje trojana

Szkodnik pobiera inne trojany z adresu http://c***e.ysbweb.com/ist/softwares/istrecover, zapisuje je do foldera tymczasowego z losowymi nazwami (%Temp%\(5 losowych symboli).exe) i uruchamia. Pobierane pliki są wykrywane przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.IstBar.ij.

Szkodnik pobiera także trojana z adresu http://c***e.ysbweb.com/ist/softwares/addins, zapisuje w folderze tymczasowym (%Temp%\ istsvc.exe) i uruchamia. Plik ten jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.IstBar.gen.

Trojan tworzy następujące klucze w rejestrze systemowym:

• [HKLM\Software\ISTsvc]
  "version"="dword:0x400"
  "app_name"="istsvc.exe"
  "popup_url"="http://www.ysbweb.com/ist/scripts/istsvc_ads_data.php"
  "update_url"= "http://cache.ysbweb.com/ist/softwares/istupdates/istsvc_updater.exe"
  "ui"="DF4505D4-D43C-4bd0-A6B0-07EF0A8C6637"
  "popup_initial_delay"="dword:0x258"
  "popup_count"="dword:00000000"
  "popup_day_count"="dword:00000000"
  "popup_day_limit"="dword:00000001"
  "update_count"="dword:00000000"
  "update_version"="dword:0x400"
  "account_id"="dword:00000002"
  "app_date"="qword:7e 99 cd db 4a 45 c6 01"
  "popup_interval"="dword:0x2a30"
  "popup_last"="qword:00 00 00 00 00 00 00 00"
  "update_interval"="dword:0x15180"
  "update_last"="qword:7e 99 cd db 4a 45 c6 01"
  "config_interval"="dword:0x69780"
  "config_last"="dword:2e dc af 2d 4c 45 c6 01"

• [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
  "DisplayName"="ISTsvc"
  "UninstallString"="C:\PROGRAM FILES\ISTSVC\ISTSVC.EXE /remove"
  "NoModify"="dword:00000001"

Usuwanie szkodnika z zainfekowanego systemu

W celu usunięcia szkodnika z systemu należy wykonać następujące operacje:

• Przy użyciu Menedżera zadań zamknąć następujące procesy:

  (5 losowych symboli).exe
  istsvc.exe
  (6 losowych symboli).exe
  

• Usunąć z rejestru następujące klucze:

  [HKCU\Software\IST]
  [HKCU\Software\ISTsvc]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
  [HKLM\Software\SAcc]

• Usunąć z dysku pliki pobrane przez trojana oraz foldery, w których zostały one zapisane:

  %WinDir%\(6 losowych symboli).exe
  %Program Files%\ISTsvc\istsvc.exe
  %Temp%\(6 losowych symboli).exe
  

• Przeprowadzić pełne skanowanie komputera (w tym celu można skorzystać z wersji testowej programu Kaspersky Anti-Virus).