Trojan-Downloader.Win32.IstBar.bo

Jest to trojan pobieraj膮cy inne programy za po艣rednictwem Internetu i uruchamiaj膮cy je na zaatakowanej maszynie bez wiedzy czy zgody u偶ytkownika. Program ma posta膰 pliku PE EXE o rozmiarze 8 704 bajt贸w (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 40KB). Powsta艂 w j臋zyku programowania C++.

Po uruchomieniu trojan przeszukuje rejestr systemowy w celu znalezienia nast臋puj膮cych kluczy:

[HKLMSoftwareISTsvc]
"popup_url" = "http://www.slotch.com/ist/scripts/istsvc_***_data.php"
"version"
"account_id"
"app_date"

Je艣li trojan nie znajdzie pierwszego klucza, stworzy go.

Nast臋pnie trojan b臋dzie pr贸bowa艂 po艂膮czy膰 si臋 z Internetem. Je艣li nie uda mu si臋 ustanowi膰 po艂膮czenia, zaprzestanie swoje dzia艂anie. Je艣li trojan ustanowi po艂膮czenie, pobierze plik o nazwie “istsvc.exe” z nast臋puj膮cego adresu:

http://install.***toolbar.com/ist/softwares/addins/istsvc.exe — plik ten ma rozmiar 21 504 bajt贸w i jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako Trojan-Downloader.Win32.IstBar.pd

Plik zostanie zapisany w bie偶膮cym folderze tymczasowym u偶ytkownika:

%Documents and Settings%\%Current_user%Local SettingsTempistsvc.exe

Nast臋pnie trojan tworzy folder o nazwie “%Program Files%ISTsvc". Kopiuje do tego foldera pobrany plik i uruchamia go w celu wykonania. Nast臋pnie usuwa plik z foldera tymczasowego i zaprzestaje dzia艂anie.

Usuwanie szkodnika z zainfekowanego systemu

Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:

  1. Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera)
  2. Usu艅 nast臋puj膮ce klucze rejestru:

    [HKLMSoftwareISTsvc]
    "popup_url" = "http://www.slotch.com/ist/scripts/istsvc_***_data.php"
    "version"
    "account_id"
    "app_date"

  3. Usu艅 nast臋puj膮cy folder i jego zawarto艣膰:
     
    Program Files%ISTsvc
    
  4. Usu艅 nast臋puj膮cy plik (je艣li program troja艅ski jeszcze go nie usun膮艂):
    %Documents and Settings%\%Current_user%Local SettingsTempistsvc.exe
    
  5. Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus)
TrojanDownloader.Win32.IstBar.bo (Kaspersky Lab), Trojan.Isbar.40960 (Doctor Web),   Troj/Istbar-BO (Sophos),   TrojanDownloader:Win32/IstBar.CE (RAV),   TROJ_ISTBAR.CE (Trend Micro),   TR/Dldr.IstBar.BO (H+BEDV),   Win32:Trojan-gen. (ALWIL),   Downloader.Istbar.BX (Grisoft),   Trojan.Downloader.IstBar.BO (SOFTWIN),   Trojan.Downloader.IstBar.BO (ClamAV),   Spyware/ISTbar (Panda),   Win32/TrojanDownloader.IstBar.CE (Eset)