Trojan-Downloader.Win32.IstBar.bo
Po uruchomieniu trojan przeszukuje rejestr systemowy w celu znalezienia nast臋puj膮cych kluczy:
"popup_url" = "http://www.slotch.com/ist/scripts/istsvc_***_data.php"
"version"
"account_id"
"app_date"
Je艣li trojan nie znajdzie pierwszego klucza, stworzy go.
Nast臋pnie trojan b臋dzie pr贸bowa艂 po艂膮czy膰 si臋 z Internetem. Je艣li nie uda mu si臋 ustanowi膰 po艂膮czenia, zaprzestanie swoje dzia艂anie. Je艣li trojan ustanowi po艂膮czenie, pobierze plik o nazwie “istsvc.exe” z nast臋puj膮cego adresu:
http://install.***toolbar.com/ist/softwares/addins/istsvc.exe — plik ten ma rozmiar 21 504 bajt贸w i jest wykrywany przez oprogramowanie Kaspersky Anti-Virus jako
Plik zostanie zapisany w bie偶膮cym folderze tymczasowym u偶ytkownika:
%Documents and Settings%\%Current_user%Local SettingsTempistsvc.exe
Nast臋pnie trojan tworzy folder o nazwie “%Program Files%ISTsvc". Kopiuje do tego foldera pobrany plik i uruchamia go w celu wykonania. Nast臋pnie usuwa plik z foldera tymczasowego i zaprzestaje dzia艂anie.
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera)
- Usu艅 nast臋puj膮ce klucze rejestru:
[HKLMSoftwareISTsvc]
"popup_url" = "http://www.slotch.com/ist/scripts/istsvc_***_data.php"
"version"
"account_id"
"app_date" - Usu艅 nast臋puj膮cy folder i jego zawarto艣膰:
Program Files%ISTsvc
- Usu艅 nast臋puj膮cy plik (je艣li program troja艅ski jeszcze go nie usun膮艂):
%Documents and Settings%\%Current_user%Local SettingsTempistsvc.exe
- Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus)