VirusHunter предупреждает всех пользователей ПК об обнаружении в сети Интернет большого количества вредоносных программ, представляющих собой модификации семейства троянцев-загрузчиков Trojan-Downloader.ISTbar. Данное семейство характерно тем, что, устанавливаясь в систему под видом различного программного обеспечения, пытается скрытно от пользователя скачивать с различных сайтов и устанавливать на зараженную ими машину др. вредоносные программы, свои плагины (дополнительные компоненты) и обновленные версии собственных программных файлов...


Предварительная информация.

Имя "ISTbar" троянское семейство получило за соответсвующее название программного продукта, указанного в цифровых подписях их файлов-компонентов. Первые версии троянца появились где-то в середине 2003 г., после чего их число стало стремительно расти и в настоящее время насчитывает (по официальным данным) порядка 150-ти (!) представителей (моя коллекция вредоносных программ насчитывает чуть более 20-ти представителей данного семейства).
Все представители семейства "ISTbar" являются либо приложениями Windows (PE EXE-программами, если файл имеет расширение "EXE"), либо модульными компонентами Windows-программ (PE DLL-библиотеки, если файл имеет расширение "DLL"). Все версии троянца написаны на языке высокого уровня Microsoft Visual C. Сжаты утилитой компрессии PE-файлов "UPX" версии 1.24. Некоторые версии троянца содержат часть своего кода в зашифрованном виде.
Способы попадания данных троянцев в компьютер пользователя могут быть различными. Основными источниками являются Интернет-ресурсы порнографического и крэкософтового характера, т.к. там вероятность подцепить "венерическое заболевание" для компьютера под видом полезной программы или через уязвимости в скрипт-защите вэб-броузера (см. описание троянского семейства Trojan-Downloader.Dyfuca) гораздо выше, чем на каких-либо официальных ресурсах. Также многие версии троянца могут быть инсталлированы в систему др. вредоносными программами, попавшими некоторое время назад в компьютер неосмтрительного пользователя.
Данное описание пока-что содержит боле-менее детальную информацию о 16-ти наиболее распространенных модификациях троянца Trojan-Downloader.ISTbar. Хочу сразу сказать, что описание каждой модификации выполнено на основе изученного мной программного кода; необходимости в проведении дополнительных опытов на тест-машине, на мой взгляд, нет.
"По умолчанию" в тексте данного описания принимаются следующие вещи:

 - название системного каталога - WINDOWS;

 - ПО - программное обеспечение;

 - под понятием "вэб-броузер" понимается Интернет-поисковик Internet Explorer; при работоспособности какой-либо версии троянца под др. вэб-броузерами последние указываются в описании данной модификации "ISTbar";

 - большинство модификаций троянца дееспособны под различными ОС Windows, включая и Windows 2K/2K Server/XP; если же какая-либо модификация троянца работает только под определенными версиями ОС Windows, то последние также будут перечислены при описании данной модификации "ISTbar";

 - символом "%" в тексте обозначаются фрагменты, представляющие собой непостоянные величины, а какие-либо переменные, зависящие от каких-либо условий; в Интернет-ссылках, по которым троянцы семейства вызывают на загрузку др. вредоносные программы, этим же значком я буду заменять фрагменты адресов, что делается в целях безопасного изложения информации о действиях "ISTbar";

 - данные по детектированию троянцев семейства "ISTbar" приведены на дату последних изменений, произведенных в тексте данного описания.


1. Trojan-Downloader.ISTbar.plugin_v1.0.0.2

Распространяется под названием ISTactivex.dll и имеет размер 15872 байта (в декомпрессированном виде - 57344 байта).
При активизации (изначально может быть запущен только др. вредоносной программой) регистрирует себя как дополнительный модуль вэб-броузера, для чего создает новый класс в ключах "HKCR" реестра:

{EF86873F-04C2-4a95-A373-5703C08EFC7B}

При подключении к сети Интернет троянец загружает на зараженную им машину файл

http://install.xxxtoolbar.com/%/%/addins/istdownload.exe

, который затем сохраняет как

WINDOWS\ist_install.exe

и запускает на выполнение. Этот файл представляет собой троянскую программу Trojan-Downloader.ISTbar.MegaLoader (см. ниже описание).
Данную версию троянца (файл ISTactivex.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.ag
Антивирус DrWeb: Trojan.Isbar
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.AG


2. Trojan-Downloader.ISTbar.SexyLoader

Распространяется под названием sexy_download.exe и имеет размер 16896 байт (в декомпрессированном виде - 45056 байт). Частично зашифрован. Устанавливается на компьютер троянскими программами Trojan-Downloader.ISTbar.MegaLoader и Trojan-Downloader.ISTbar.MegaLoader-II (см. описания ниже).
При подключении к сети Интернет троянец загружает на зараженную им машину файл

http://www.slotch.com/%/%/addins/sexyscreen.exe

, который затем сохраняет как

WINDOWS\sexyscreen.exe

и запускает на выполнение.
По ходу загрузки указанного файла троянец запрашивает инструкции с сервера

http://www.slotch.com/%/%/ist_debug?step=

При этом также отсылает на него технические данные в виде следующих сообщений:

Download timed out, this is likely due to a connection problem

Error while downloading program

Unknown % KB/s

% completed

%:%:%

Failed to recieve entire file!

Error downloading program

Error during download

Error while attempting to download program, further details:

Error opening local file

Error writing to local file %, please ensure the file is not being used by another program

Error unable to retrieve download size

Error while querying remote server


Процедуры регистрации троянца в систему в его коде зашифрованы, однако в списке установленного программного обеспечения его можно увидеть под названием "FREE Sexy Video ScreenSaver".
Данную версию троянца (файл sexy_download.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.ah
Антивирус DrWeb: Trojan.DownLoader.773
Антивирус BitDefender Professional: Trojan.Downloader.Istbar.AH


3. Trojan-Downloader.ISTbar.istsvcupdater

Распространяется под названием istsvc_updater.exe и имеет размер 8704 байта (в декомпрессированном виде - 40960 байт). Устанавливается на компьютер троянскими программами Trojan-Downloader.ISTbar.MegaLoader и Trojan-Downloader.ISTbar.MegaLoader-II (см. описания ниже) в специально создаваемый ими подкаталог как

Program Files\ISTsvc\istsvc_updater.exe

Данная версия троянца теоретически дееспособна только под следующими версиями ОС Windows:

Windows 95
Windows 98 (98 SE)
Windows ME
Windows NT
Windows NT Server
Windows NT Workstation

При проверке системы на совместимость также проверяет является ли система Windows версией 3.1 (непонятно только зачем, ведь эта версия ОС Windows является 16-битной и под ней троянец вообще неработоспособен).
Для регистрации в системе троянец создает раздел ключей системного реестра

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ProductOptions]

В системной папке "Избранное" (Favorite) троянец создает ярлык, при нажатии на который вызывается ссылка

http://www.slotch.com/%/%/ist_shortcuts_jump.php

Если пользователь запустит данную ссылку во время работы в сети Интернет, существует потенциальная опасность заражения машины каким-то др. троянцем.
Во время работы в Интернете троянец негласно вызывает страницу

http://install.xxxtoolbar.com/%/%/ist_shortcuts_list.php

, по которой вызывается файл "shortcuts.txt" со списком сайтов, с которых троянец будет скачивать какие-то др. вредоносные программы. Также троянец ищет и скачивает дополнительные плагины (файлы с настройками и модульные компоненты) и более свежие версии своей программы, образаясь к странице

http://www.slotch.com/%/%/istsvc_ads_data.php

Повторные обращения к данной странице троянец осуществляет через определнные промежутки времени.
Еще троянец закачивает и запускает на выполнение файл, расположенный на странице

http://install.xxxtoolbar.com/%/%/addins/istsvc.exe

Данный файл представляет собой одну из программ - Trojan-Downloader.ISTbar.istsvc или Trojan-Downloader.ISTbar.istsvc-II (см. описания ниже).
Свой файл - istsvc_updater.exe - троянец регистрирует в системе (в списке установленных программ) как "ПО" под названием либо "Bargains", либо "ISTbar". Для этого создает соответствующую запись в разделе реестровых ключей

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]

и копирует данный файл в один из следующих создаваемых им подкаталогов:

Program Files\Bargains\istsvc_updater.exe
или
Program Files\ISTbar\ISTbar\istsvc_updater.exe

В этих же подкаталогах троянец размещает и скачанные файлы-плагины.
Для определения своего присутствия в системе троянец создает в памяти машины какую-то специальную "метку"-идентификатор (т.н. MUTEX).
Данную версию троянца (файл istsvc_updater.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.bo
Антивирус DrWeb: Trojan.Isbar.40960
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.BO


4. Trojan-Downloader.ISTbar.istsvc

Распространяется под названием istsvc.exe и имеет размер 8704 байта (в декомпрессированном виде - 24576 байт). Устанавливается в систему троянскими программами Trojan-Downloader.ISTbar.istsvcupdater (см. описание выше), Trojan-Downloader.ISTbar.MegaLoader или Trojan-Downloader.ISTbar.MegaLoader-II (см. описания ниже) в создаваемый ими подкаталог:

Program Files\ISTsvc\istsvc.exe

Троянец istsvc.exe дееспособен на машинах со следующими установленными вэб-броузерами:

Internet Explorer
Netscape
Mozilla
Opera

Данная версия троянца занимается только поиском и загрузкой на пораженный компьютер через сеть Интернет своих обновленных версий, а также посещением сайта статистики, на котором сохраняет некоторые технические данные.
При работе, помимо стандартных Windows'овских вызовов, троянец также использует некоторые возможности системного интерпретатора команд DOS - COMMAND.COM.
Для возможности своей активизации при каждом старте системы троянец создает запись в ключе автозапуска системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Для возможности запуска как системный сервис также создает запись в ключе автозапуска системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Свой файл - istsvc.exe - троянец регистрирует в системе (в списке установленных программ) как "ПО" под названием "ISTsvc". Для этого регистрирует себя при помощи соответсвующей записи в разделе реестровых ключей

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]

Для определения своего присутствия в системе троянец создает в памяти машины какую-то специальную "метку"-идентификатор (т.н. MUTEX).
Обновленные файлы конфигураций (файлы, содержащие обновленные настройки) и более свежие версии своей программы троянец ищет через определенные промежутки времени на странице

http://www.xxxtoolbar.com/%/%/istsvc_config.php

Данная версия троянца теоретически может быть деинсталлирована из системы самим пользователем, поскольку троянец создает соответствующий ключ деинсталляции

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]

, а также файл-скрипт istsvc_del.bat, содержащий процедуру деинсталляции (?) троянца.
В качестве места для размещения своего основного файла istsvc.exe, а также прочих компонентов, троянец использует создаваемый им подкаталог

Program Files\ISTbar\ISTbar\

Если юзер запускает процедуру деинсталляции троянской программы, то появляется окно со следующим запросом:

Are you sure you want to remove ISTsvc? Some free software require ISTsvc to be installed to continue to work. If you proceed with uninstallation, some software may stop working.

PROCEED WITH UNINSTALL?

YES | NO


Если пользователь выбирает ответ "YES" для удаления троянца из системы, то будет загружена страница

http://www.slotch.com/%/%/log_uninstalls.php

, на которой расположен счетчик статистики количества пораженных троянцем машин, значение которого последний при наличии в машине его активной копии увеличивает на 1.
Данную версию троянца (файл istsvc.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.ce
Антивирус DrWeb: Trojan.Isbar
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.CE


5. Trojan-Downloader.ISTbar.MegaLoader

Распространяется под названием ist_install.exe и имеет размер 12800 байт (в декомпрессированном виде - 61440 байт). Устанавливается на компьютер троянской программой Trojan-Downloader.ISTbar.plugin_v1.0.0.2 (см. описание выше) в системный каталог Windows:

WINDOWS\ist_install.exe

Данная версия троянца (ist_install.exe) теоретически дееспособна только под следующими версиями ОС Windows:

Windows 95
Windows 98 (98 SE)
Windows ME
Windows NT
Windows NT Server
Windows NT Workstation

При проверке системы на совместимость также проверяет является ли система Windows версией 3.1 (непонятно только зачем, ведь эта версия ОС Windows является 16-битной и под ней троянец вообще неработоспособен).
Для регистрации в системе троянец создает раздел ключей системного реестра

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ProductOptions]

Для возможности своего автозапуска при каждом старте системы создает несколько записей в различных ключах автозапуска системного реестра.
В системной папке "Избранное" (Favorite) троянец создает ярлык, при нажатии на который вызывается ссылка

http://www.slotch.com/%/%/ist_shortcuts_jump.php

Если пользователь запустит данную ссылку во время работы в сети Интернет, существует потенциальная опасность заражения машины каким-то др. троянцем.
Во время работы в Интернете троянец негласно вызывает страницу

http://install.xxxtoolbar.com/%/%/ist_shortcuts_list.php

, по которой вызывается файл "shortcuts.txt" со списком сайтов, с которых троянец будет скачивать какие-то др. вредоносные программы.
В качестве стартовой страницы троянец устанавливает

http://www.slotch.com/

, изменяя соответствующим образом значение ключа системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

Кроме того, троянец осуществляет скрытый поиск вышеуказанной страницы во время работы в сети Интернет, модифицируя значения ключа системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]

Троянец встраивает в вэб-броузер дополнительную панель поиска (SearchBar), при нажатии на который происходит загрузка страницы

http://www.couldnotfind.com/search_page.html

При каждом подключении к сети Интернет троянец скрытно связывается со страницей

http://install.xxxtoolbar.com/%/%/ist_show.php

, с которой считывает какие-то данные. Затем, помимо ссылок, считываемых из файла "shortcuts.txt", троянец ищет, скачивает на зараженную им машину и запускает на выполнение следующие файлы, представляющие собой др. троянские файлы:

http://install.xxxtoolbar.com/%/%/addins/istsvc.exe
http://install.xxxtoolbar.com/%/%/istupdates/istsvc_updater.exe
http://install.xxxtoolbar.com/%/%/addins/bb.exe
http://install.xxxtoolbar.com/%/%/addins/igetnet.exe
http://install.xxxtoolbar.com/%/%/addins/euniverse.exe
http://install.xxxtoolbar.com/%/%/addins/lycos_ss.exe
http://install.xxxtoolbar.com/%/%/addins/statblaster.exe
http://install.xxxtoolbar.com/%/%/addins/ncase.exe
http://install.xxxtoolbar.com/%/%/addins/whenu.exe
http://install.xxxtoolbar.com/%/%/addins/keywordsinc.exe
http://install.xxxtoolbar.com/%/%/addins/commonname.exe
http://cdn.climaxbucks.com/%/%/wsi12/optimize.exe
http://cdn.climaxbucks.com/%/%/wsi24/optimize.exe
http://mt55.mtree.com/%/%/cat_7/?ergs=1+326070+mt55+ddl
http://install.xxxtoolbar.com/%/%/addins/sexy_download.exe
http://install.xxxtoolbar.com/%/%/golden/bridge.exe
http://install.xxxtoolbar.com/%/%/toolbars/istbar.dll
http://install.xxxtoolbar.com/%/%/power/powerscan.exe
http://www.xxxtoolbar.com/%/%/already.php
http://install.xxxtoolbar.com/%/%/ist_install.php


Вся эта "троянская братия" устанавливается в систему под указанными в ссылках названиями (у некоторых троянец меняет название перед их инсталляцией) как сервисные процессы, Интернет-поисковики, оптимизаторы системы и т.д., и т.п. При этом, для возможности их автозапуска в системе прописываются как просто ключи, так и целые классы реестровых ссылок.
Вышеперечисленные файлы троянец устанавливает в создаваемые им подкаталоги (при этом изменяет имена некоторых файлов), после чего запускает эти файлы на выполнение:

Program Files\ISTsvc\istsvc.exe
Program Files\ISTsvc\istsvc_updater.exe
Program Files\Bargains\bb.exe
Program Files\Browser Helper Objects\igetnet.exe
Program Files\Avenue Media\Internet Optimizer\euniverse.exe
Program Files\Lycos\SideSearch\lycos_ss.exe
Program Files\StatBlaster\sbinstall.exe
Program Files\180Solutions\msbb.exe
Program Files\WhenUSave\whenu.exe
Program Files\KeywordsInc\keywordsinc.exe
Program Files\CommonName\cnbabeie.exe
WINDOWS\optimize.exe
WINDOWS\dating.exe
WINDOWS\sexy_download.exe
WINDOWS\bridge.exe
Program Files\ISTbar\ISTbar\istbar.dll
Program Files\PowerScan\powerscan.exe
Program Files\IST\powerscan.exe

Эти файлы представляют собой следующие троянские программы:

istsvc.exe - троянская программа Trojan-Downloader.ISTbar.istsvc или Trojan-Downloader.ISTbar.istsvc-II, описания которых приведены в данной статье;
istsvc_updater.exe - троянская программа Trojan-Downloader.ISTbar.istsvcupdater, описание которой приведено в данной статье, или еще один вариант троянского семейста ISTbar, размер которого в сжатом виде составляет 9728 байт, в декомрессированном - 45056 байт (на данный момент описание данной модификации отсутствует);
bb.exe - один из многочисленных вариантов программы-инсталлятора (размер может колебаться в пределах от 200 до 300 кб в зависимости от ее содержимого), устанавливающей на компьютер др. вредоносные программы, среди которых могут быть и программы-шпионы;
igetnet.exe - либо один из многочисленных вариантов троянского семейства Trojan-Downloader.Dyfuca, либо троянская программа (файл сжат утилитой "UPX" версии 1.24 и имеет размер 93184 байта; в декомпрессированном виде размер составляет 138240 байт), которая устанавливает на машину различные файлы с неопределенным содержимым; детально не изучалась;
euniverse.exe - одна из 2-х троянских программ, размеры которых 184534 и 140015 байт соответственно (детально не изучались); обе изменяют настройки вэб-броузера Internet Explorer, а также скрытно скачивают из Интернета др. вредоносные программы;
lycos_ss.exe - либо троянская программа Trojan-Downloader.ISTbar.SideFind, описание которой приведено в данной статье, либо троянская программа "SideSearch" размером 140645 байт (детально не изучалась), перенаправляющая вэб-броузер на какие-то сайты с неизвестным содержимым, откуда могут быть загружены др. вредоносные программы;
sbinstall.exe - не была обнаружена;
msbb.exe - не была обнаружена;
whenu.exe - программа размером 65608 байт (детально не изучалась), которая предлагает (?) загружать из Интернета какой-то софт;
keywordsinc.exe - троянская программа размером 140148 байт (детально не изучалась), которая записывается в систему как компонент графической оболочки системы (под видом модуля системного приложения "Explorer"), после чего скрытно загружает на пораженный компьютер др. вредоносные программы;
cnbabeie.exe - не была обнаружена;
optimize.exe - одна из многочисленных модификаций троянского семейства Trojan-Downloader.Dyfuca;
dating.exe - не была обнаружена;
sexy_download.exe - троянская программа Trojan-Downloader.ISTbar.SexyLoader, описание которой приведено в данной статье;
bridge.exe - троянская программа Trojan-Downloader.LittleTroy.16384-A;
istbar.dll - либо троянская программа Trojan-Downloader.ISTbar.plugin_v1.1.0.1, либо Trojan-Downloader.ISTbar.plugin-II_v1.1.0.2, описания которых приведены в данной статье;
powerscan.exe - троянская программа Trojan-Downloader.PowerScan.11.

Детектирование антивирусами всех из вышеперечисленных троянских файлов, описания которых отсутствуют на сайте www.daxa.com.ua/virushunter, приведены в конце данной статьи.
В списке установленных программ можно увидеть новые объекты с соответствующими названиями "программного софта", а также некоторыми др.
В качестве времени и даты модификации троянец присваивает некоторым установленным файлам реальные значения соответствующих параметров, поделенные на 5 и округленные до целого значения (для параметра "год" обрабатываются только 2 последние цифры), что затрудняет обнаружение таких новых файлов.
Данную версию троянца (файл ist_install.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.cy
Антивирус DrWeb: Trojan.Isbar.445
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.CY


6. Trojan-Downloader.ISTbar.plugin_v1.1.0.1

Распространяется под названием istbar.dll и имеет размер 68608 байт (в декомпрессированном виде - 176128 байт). Устанавливается в систему троянскими программами Trojan-Downloader.ISTbar.MegaLoader (см. описание выше) и Trojan-Downloader.ISTbar.MegaLoader-II (см. описание ниже).
При своем первом запуске регистрирует себя как дополнительный модуль вэб-броузера, для чего создает новый класс в ключах "HKCR" реестра:

{5F1ABCDB-A875-46c1-8345-B72A4567E486}

Устанавливается в подкаталог (или копирует себя, если записана на диск в др. папке, отличной от нижеуказанной)

Program Files\ISTbar\istbar.dll

Также записывает туда какие-то свои файлы:

Program Files\ISTbar\xml_istbar.php
Program Files\ISTbar\xml_adultbar.php

Данный файл - istbar.dll - представляет собой дополнительную панель (ToolBar), встраиваемую в интерфейс вэб-броузера Internet Explorer. При обращении пользователя к этой панели вызывается одна из следующих страниц:

http://www.xxxtoolbar.com/%/removed.html (если пользователь выбирает на панели опцию "Uninstall", т.е. удаления ТулБара)

http://www.slotch.com (при выборе на панели опции "Search")

http://istbar.xxxtoolbar.com/%/%/istbar/ (при выборе опиции обновления ТулБара)

Если троянцу не удается связаться с вышеуказанными сайтами, то на экран выдается следующее сообщение:

Alert
can't retrieve infomation from
[ссылка, которая вызывалась]

В зависимости от выбранной опции на ТулБаре троянец выдает на экран одно из следующих диалогов:

Please connect the internet and restart your browser.

This will remove from your computer! Are you sure?

If you want the toolbar to stop displayaing adult related links, click OK. You can switch back to the adult toolbar at anytime by clicking the same button you just clicked.


Также троянец пытается искать в Интернете троянский файл istbar_update.exe.
Если на зараженной машине установлена система Windows 2K/2K Server/XP, то троянец сохраняет на диске файл с какой-то картинкой, используемой при показе ТулБара в вэб-броузере Internet Explorer:

С:\Documents and Settings\123\Application Data\Hotbar\IESkins\083001edenC-2.bmp

Кроме того, если в машине имеет место логический диск с именем G:, то троянец также сохраняет на нем какой-то файл:

G:\My Documents\projects\ISTbar\XmlParser.cpp

Данную версию троянца (файл istbar.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.dh
Антивирус DrWeb: Trojan.Isbar
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.CJ


7. Trojan-Downloader.ISTbar.plugin-II_v1.0.0.2

Распространяется под названием ISTactivex.dll и имеет размер 17408 байт (в декомпрессированном виде - 57344 байта).
При активизации (изначально может быть запущен только др. вредоносной программой) регистрирует себя как дополнительный модуль вэб-броузера, для чего создает новый класс в ключах "HKCR" реестра:

{12398DD6-40AA-4c40-A4EC-A42CFC0DE797}

При подключении к сети Интернет троянец загружает на зараженную им машину файл

http://install.xxxtoolbar.com/%/%/v4.0/istdownload.exe

, который затем сохраняет как

WINDOWS\iinstall.exe

и запускает на выполнение.
Данную версию троянца (файл ISTactivex.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gen
Антивирус DrWeb: Trojan.Isbar
Антивирус BitDefender Professional: Trojan.Downloader.Istbar.EN


8. Trojan-Downloader.ISTbar.SideFind

Распространяется под названием lycos_ss.exe и имеет размер 5632 байта (в декомпрессированном виде - 16384 байта). Устанавливается в систему троянскими программами Trojan-Downloader.ISTbar.MegaLoader (см. описание выше) и Trojan-Downloader.ISTbar.MegaLoader-II (см. описание ниже), в создаваемый ими подкаталог

Program Files\Lycos\SideSearch\lycos_ss.exe

При первом запуске копирует себя в создаваемый подкаталог как

Program Files\SideFind\sidefind.exe

, откуда в дальнейшем и будет запускаться для функционирования.
В качестве времени и даты модификации троянец присваивает данному файлу реальные значения соответствующих параметров, поделенные на 5 и округленные до целого значения (для параметра "год" обрабатываются только 2 последние цифры), что затрудняет обнаружение последнего.
Для регистрации в системе под видом сервисного программного обеспечения создает собственную запись в ключе реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]

При подключении к сети Интернет троянец получает управление и загружает на зараженную им машину следующие файлы:

http://www.sidefind.com/%/%/sidefind/sidefind.dll
http://www.sidefind.com/%/%/sidefind/sfbho.dll


Эти файлы представляют собой какие-то плагины (файлы-компоненты) троянца, которые он сохраняет на диске как

Program Files\SideFind\update\sidefind.dll
Program Files\SideFind\update\sfbho.dll

Кроме того, троянец скрытно вызывает страницу

http://www.sidefind.com/%/%/sidefind/sfexd002.php

, на которой ищет свои обновленные версии. Если более свежая версия обнаружена, то троянец загружает ее в специально создаваемый им подкаталог:

Program Files\SideFind\update\sfexd001

, после чего переименовывает данный файл в sidefind.exe и перезаписывает им одноименный старый файл.
Поскольку программа троянца фигурирует в списке установленного в системе программного обеспечения под названием "SideFind", пользователь может попытаться деинсталлировать ее. При запуске процедуры деинсталляции троянец открывает в вэб-броузере страницу

http://www.slotch.com/%/%/log_uninstalls.php

, после чего выдает на экран следующие запросы:

You must close all instance of Internet Explorer to remove all SideFind files properly.

PROCEED WITH UNINSTALL? Are you sure you want to remove SideFind?

PROCEED WITH UNINSTALL? Are you sure?


Произойдет ли в реальности деинсталляция троянца - сказать сложно, т.к. на указанной странице располагается счетчик статистики, фиксирующий количество машин, инфицированных данным троянцем: при соединении с этой страницей троянец увеличивает значение счетчика на 1.
Данную версию троянца (файл lycos_ss.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.eo
Антивирус DrWeb: Trojan.Isbar.126
Антивирус BitDefender Professional: Trojan.Downloader.Istbar.EO


9. Trojan-Downloader.ISTbar.crack

Распространяется под названием crack.exe и имеет размер 4608 байт (в декомпрессированном виде - 16384 байта). Частично зашифрован.
При запуске устанавливает себя в системный каталог под названием

WINDOWS\fen0eGA.exe

Для регистрирации в системе под видом сервисного программного обеспечения создает собственную запись в ключе реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]

При подключении к сети Интернет троянец получает управление и загружает на зараженную им машину файл

http://www.slotch.com/%/%/v4.0/istdownload.exe

Этот файл представляет собой вредоносную программу Trojan-Downloader.ISTbar.MegaLoader-II (см. описание ниже), которую троянец сохраняет в создаваемый им подкаталог

Program Files\IST\istdownload.exe

, после чего запускает его на выполнение.
Остальные процедуры содержатся в коде троянца в зашифрованном виде.
Данную версию троянца (файл crack.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.er
Антивирус DrWeb: Trojan.Isbar.70
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.ER


10. Trojan-Downloader.ISTbar.plugin-III_v1.0.0.2

Распространяется под названием ISTactivex.dll и имеет размер 16896 байт (в декомпрессированном виде - 57344 байта).
Все остальные процедуры полностью идентичны вышеописанной версии Trojan-Downloader.ISTbar.plugin-II_v1.0.0.2. Данную версию троянца (файл ISTactivex.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.fa
Антивирус DrWeb: Trojan.Isbar.71
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.FA


11. Trojan-Downloader.ISTbar.plugin-IV_v1.0.0.2

Распространяется под названием ISTactivex.dll и имеет размер 17408 байт (в декомпрессированном виде - 57344 байта).
При активизации (изначально может быть запущен только др. вредоносной программой) регистрирует себя как дополнительный модуль вэб-броузера, для чего создает новый класс в ключах "HKCR" реестра:

{386A771C-E96A-421f-8BA7-32F1B706892F}

Все остальные процедуры полностью идентичны вышеописанным версиям Trojan-Downloader.ISTbar.plugin-II_v1.0.0.2 и Trojan-Downloader.ISTbar.plugin-III_v1.0.0.2. Данную версию троянца (файл ISTactivex.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gen
Антивирус DrWeb: Trojan.Isbar.63
Антивирус BitDefender Professional: Trojan.Downloader.Istbar.W


12. Trojan-Downloader.ISTbar.MegaLoader-II

Распространяется под названием istdownload.exe и имеет размер 16384 байта (в декомпрессированном виде - 53248 байт). Частично зашифрован.
Данная версия троянца теоретически дееспособна только под следующими версиями ОС Windows:

Windows 95
Windows 98 (98 SE)
Windows ME
Windows NT
Windows NT Server
Windows NT Workstation

При проверке системы на совместимость также проверяет является ли система Windows версией 3.1 (непонятно только зачем, ведь эта версия ОС Windows является 16-битной и под ней троянец вообще неработоспособен).
Для регистрации в системе троянец создает раздел ключей системного реестра

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ProductOptions]

Для возможности своего автозапуска при каждом старте системы создает несколько записей в различных ключах автозапуска системного реестра.
В системной папке "Избранное" (Favorite) троянец создает ярлык, при нажатии на который вызывается ссылка

http://www.slotch.com/

Во время работы в Интернете троянец негласно вызывает страницу

http://www.ysbweb.com/%/%/ist_shortcuts_jump.php

, по которой вызывается файл "shortcuts.txt" со списком сайтов, с которых троянец будет скачивать какие-то др. вредоносные программы. Также троянец негласно вызывает еще одну страницу:

http://www.ysbweb.com/%/%/istdownload_config.php

, на которой ищет и загружает свои файлы-плагины.
В качестве стартовой страницы троянец устанавливает

http://www.couldnotfind.com/search_page.html

, изменяя соответствующим образом значение ключа системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

и дописывая в него дополнительное значение под названием "BandRest".
Помимо ссылок, считываемых из файла "shortcuts.txt", троянец ищет, скачивает на зараженную им машину и запускает на выполнение следующие файлы, представляющие собой др. троянские файлы:

http://www.ysbweb.com/%/%/istsvc_recover.php
http://www.ysbweb.com/%/%/addins/istsvc.exe
http://install.xxxtoolbar.com/%/%/istupdates/istsvc_updater.exe
http://install.xxxtoolbar.com/%/%/addins/bb.exe
http://install.xxxtoolbar.com/%/%/addins/igetnet.exe
http://install.xxxtoolbar.com/%/%/addins/euniverse.exe
http://install.xxxtoolbar.com/%/%/addins/sidefind.exe
http://www.ysbweb.com/%/%/addins/sahagent.exe
http://install.xxxtoolbar.com/%/%/addins/lycos_ss.exe
http://install.xxxtoolbar.com/%/%/addins/sr.exe
http://install.xxxtoolbar.com/%/%/addins/statblaster.exe
http://install.xxxtoolbar.com/%/%/addins/ncase_new.exe
http://install.xxxtoolbar.com/%/%/addins/whenu.exe
http://www.ysbweb.com/%/%/addins/emusic.exe
http://install.xxxtoolbar.com/%/%/addins/better.exe
http://www.ysbweb.com/%/%/addins/targetsaver.exe
http://install.xxxtoolbar.com/%/%/addins/better_new.exe
http://cdn.climaxbucks.com/%/%/wsi12/optimize.exe
http://cdn.climaxbucks.com/%/%/wsi24/optimize.exe
http://mt55.mtree.com/xintl/%/%/?ergs=1+326070+mt55+ddl
http://install.xxxtoolbar.com/%/%/addins/sexy_download.exe
http://install.xxxtoolbar.com/%/%/golden/bridge.exe
http://www.ysbweb.com/%/%/toolbars/ysb.dll
http://www.ysbweb.com/%/%/%
http://www.ysbweb.com/%/welcome.html
http://install.xxxtoolbar.com/%/%/power/powerscan.exe
http://www.ysbweb.com/%/%/addins/glophone.exe
http://www.ysbweb.com/%/%/addins/webrebates_usa.exe
http://www.ysbweb.com/%/%/addins/webrebates_europe.exe
http://www.ysbweb.com/%/%/addins/webrebates_other.exe
http://www.xxxtoolbar.com/%/%/already.php
http://install.xxxtoolbar.com/%/%/toolbars/istbar.dll
http://install.xxxtoolbar.com/%/%/toolbars/istbar_mainstream.dll
http://install.xxxtoolbar.com/%/%/toolbars/istbar_silent.dll
http://install.xxxtoolbar.com/%/%/ist_install.php


Вся эта "троянская братия" устанавливается в систему под указанными в ссылках названиями (у некоторых троянец меняет название перед их инсталляцией) как сервисные процессы, Интернет-поисковики, оптимизаторы системы и т.д., и т.п.. При этом, для возможности их автозапуска в системе прописываеются как просто ключи, так и целые классы реестровых ссылок.
Вышеперечисленные файлы троянец устанавливает в создаваемые им подкаталоги (при этом изменяет имена некоторых файлов), после чего запускает эти файлы на выполнение:

Program Files\IST\%.exe
Program Files\ISTsvc\istsvc.exe
Program Files\ISTsvc\istsvc_updater.exe
Program Files\Bargains\bb.exe
Program Files\Browser Helper Objects\igetnet.exe
Program Files\IncrediFind\euniverse.exe
Program Files\Lycos\SideSearch\sidefind.exe
Program Files\VGroup\SAHAgent\sahagent.exe
Program Files\Lycos\SideSearch\lycos_ss.exe
Program Files\Browser Helper Objects\sr.exe
Program Files\StatBlaster\sbinstall.exe
Program Files\180Solutions\Msbb\sais.exe
Program Files\WhenUSave\whenu.exe
Program Files\Twaintec\emusic.exe
Program Files\Dbi\bdl14173.exe
Program Files\TSA\targetsaver.exe
Program Files\Browser Helper Objects\%bi%.exe
Program Files\Avenue Media\Internet Optimizer\optimize.exe
WINDOWS\optimize.exe
WINDOWS\sexy_download.exe
Program Files\CasProg\bridge.exe
Program Files\ISTbar\ISTbar\istbar.dll
Program Files\YourSiteBar\ysb.dll
Program Files\YourSiteBar\welcome.html
Program Files\PowerScan\powerscan.exe
Program Files\Voiceglo\glophone.exe
WINDOWS\WebRebates0.exe
WINDOWS\Web_Rebates.dll
Program Files\IST\config.dll
WINDOWS\istbar_x.dll
WINDOWS\istbar_m.dll
WINDOWS\istbar_s.dll
Program Files\VGroup\SAHAgent\ist_install.php

Многие из этих файлов являются теми же троянскими программами, что и загружаемые вариантом Trojan-Downloader.ISTbar.MegaLoader (см. описание этого троянца и список загружаемых им файлов выше). Кроме того, загружаются и следующие файлы:

sidefind.exe - либо троянская программа Trojan-Downloader.ISTbar.SideFind, либо Trojan-Downloader.ISTbar.SideFind-II, описания которых приведены в данной статье;
sahagent.exe - не был обнаружен;
sr.exe - программа размером 201883 байта (детально не изучалась) с неопределенным назначением, изменяющая некоторые параметры вэб-броузера Internet Explorer;
sais.exe - не был обнаружен;
emusic.exe - неопасная программа размером 203731 байт (детально не изучалась) для соединения с какими-то Web-ресурсами;
bdl14173.exe - не был обнаружен;
targetsaver.exe - троянская программа размером 147033 байта (детально не изучалась), которая скрытно загружает на пораженный компьютер др. вредоносные программы через собственную FTP-систему поиска Интернет-объектов;
ysb.dll - неопасная программа размером 94208 байт (сжата утилитой "UPX" версии 1.24; размер в декомпрессированном виде - 311296 байт; детально не изучалась), встраивающая свой тулбар (ToolBar - поисковую панель) в вэб-броузер Internet Explorer, а также занимающаяся поиском каких-то Интернет-ресурсов;
welcome.html - не обнаруженный компонент программы ysb.dll;
glophone.exe - не был обнаружен;
WebRebates0.exe - неопасная программа размером 98304 байта (детально не изучалась), изучающая (?) запрашиваемую пользователем информацию в Интернете;
Web_Rebates.dll - не обнаруженный компонент программы WebRebates0.exe;
config.dll - очевиднее всего, не обнаруженный плагин какого-то из троянцев семейства "ISTbar";
istbar_x.dll, istbar_m.dll, istbar_s.dll - не обнаруженные плагины какого-то из троянцев семейства "ISTbar";
ist_install.php - не был обнаружен.

Детектирование антивирусами всех из вышеперечисленных троянских файлов, описания которых отсутствуют на сайте www.daxa.com.ua/virushunter, приведены в конце данной статьи.
В списке установленных программ можно увидеть новые объекты с соотвествующими названиями "программного софта", а также некоторыми др.
В качестве времени и даты модификации троянец присваивает некоторым установленным файлам реальные значения соответсвующих параметров, поделенные на 5 и округленные до целого значения (для парметра "год" обрабатываются только 2 последние цифры), что затрудняет обнаружение таких новых файлов.
Для некоторых из закачанных программ троянец создает специальные "метки"-идентификаторы в системной памяти (т.н. MUTEX) для того, чтобы определять их наличие в зараженной системе и не загружать соответсвующие файлы повторно.
Данную версию троянца (файл istdownload.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gen
Антивирус DrWeb: Trojan.Isbar.124
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.GP


13. Trojan-Downloader.ISTbar.SideFind-II

Распространяется под названием sidefind.exe и имеет размер 5632 байта (в декомпрессированном виде - 16384 байта). Частично зашифрован. Изначально устанавливается в систему троянской программой Trojan-Downloader.ISTbar.MegaLoader-II (см. описание выше), в следующий созданный подкаталог:

Program Files\Lycos\SideSearch\sidefind.exe

Данная версия троянца представляет собой модифицированный вариант Trojan-Downloader.ISTbar.SideFind и практически полностью идентична ему. Отличие заключается лишь ссылками, по которым троянец скачивает свои компоненты:

http://www.sidefind.com/%/%/sidefind/v1.3/sidefind13.dll
http://www.sidefind.com/%/%/sidefind/v1.3/sfbho13.dll


Все остальное - процедуры инсталляции, имена файлов, каталоги установки и т.д. - аналогично указанной версии.
Данную версию троянца (файл sidefind.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gen
Антивирус DrWeb: Trojan.Isbar.94
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.DA


14. Trojan-Downloader.ISTbar.plugin_v1.1.0.2

Распространяется под названием istbar_silent.dll и имеет размер 82944 байта (в декомпрессированном виде - 274432 байта). Частично зашифрован. Устанавливается в систему троянской программой Trojan-Downloader.ISTbar.MegaLoader-II (см. описание выше).
При своем первом запуске istbar_silent.dll производит деинсталляцию какой-то своей предыдущей версии. Для этого делает следующее:

 - пытается связаться через сеть Интернет с некоторыми серверами, на которых запрашивает следующие файлы:

http://www.slotch.com/%/%/istbar_mainstream/xml_istbar.php
http://www.slotch.com/xml_istbar.php
http://www.slotchbar.com/%/removed.html


Из этих файлов троянец считывает данные, связанные с обновлением своей программы.

 - проверяет существования в реестре класса ключей

{5F1ABCDB-A875-46c1-8345-B72A4567E486}

Если данный класс обнаружен, то троянец ищет для данного класса подраздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F1ABCDB-A875-46c1-8345-B72A4567E486}]

и удаляет из него строку, содержащую следующий фрагмент значения:

 " "="rundll32.exe advpack.dll,DelNodeRunDLL32 ..."

Кроме того, перезаписывает какие-то значения в ключе системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Этот фрагмент принадлежит "программному обеспечению" (более ранней версии троянца), прописанному в системе.
Троянец встраивает в вэб-броузер Internet Explorer ТулБар (ToolBar - дополнительную панель с опциями). Для подключения этого ТулБара к меню панелей вэб-броузера троянец создает новую запись в ключе реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
 "{5F1ABCDB-A875-46c1-8345-B72A4567E486}"=...


Также во время работы в сети Интернет троянец постоянно ищет более новые версии своей программы, а также скачивает с какого-то сервера EXE-файл, который устанавливает в систему под видом "программного обеспечения" с названием "SlotchBar", размещая его на диске как

Program Files\ISTbar\istbar_update.exe

и запускает на выполнение.
Если по каким-либо причинам троянцу не удалось установить соединение с вышеупомянутыми серверами, то на экран могут выводиться окна, содержащие следующие сообщения:

Alert

can't retrieve infomation from
[ссылка, которую не удалось вызвать]

Please connect the internet and restart your browser.

Также при некоторых прочих условиях троянец может выдавать на экран и такое сообщение:

This will remove from your computer! Are you sure? If you want the toolbar to stop displayaing adult related links, click OK. You can switch back to the adult toolbar at anytime by clicking the same button you just clicked.

Если на зараженной машине установлена система Windows 2K/2K Server/XP, то троянец сохраняет на диске С: файл с какой-то картинкой, используемой при показе ТулБара в вэб-броузере Internet Explorer:

С:\Documents and Settings\123\Application Data\Hotbar\IESkins\083001edenC-2.bmp

Кроме того, троянец также сохраняет на диск еще один файл:

C:\Documents and Settings\Karl\My Documents\projects\ISTbar\XmlParser.cpp

Данную версию троянца (файл istbar_silent.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gf
Антивирус DrWeb: Trojan.Isbar.131
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.GF


15. Trojan-Downloader.ISTbar.plugin-II_v1.1.0.2

Распространяется под названием istbar.dll и имеет размер 82432 байта (в декомпрессированном виде - 274432 байта). Частично зашифрован. Устанавливается в систему троянскими программами Trojan-Downloader.ISTbar.MegaLoader и Trojan-Downloader.ISTbar.MegaLoader-II (см. описания выше).

По своему функционалу практически идентичен вышеописанному варианту Trojan-Downloader.ISTbar.plugin_v1.1.0.2.
При своем первом запуске производит деинсталляцию какой-то своей предыдущей версии. Для этого делает следующее:

 - пытается связаться через сеть Интернет с некоторыми серверами, на которых запрашивает следующие файлы:

http://istbar.xxxtoolbar.com/%/%/istbar/xml_istbar.php
http://istbar.xxxtoolbar.com/%/%/istbar/xml_adultbar.php
http://www.xxxtoolbar.com/%/welcome.html
http://www.xxxtoolbar.com/%/removed.html


Из этих файлов троянец считывает данные, связанные с обновлением своей программы.  - проверяет существования в реестре класса ключей

{5F1ABCDB-A875-46c1-8345-B72A4567E486}

Если данный класс обнаружен, то троянец ищет для данного класса подраздел

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F1ABCDB-A875-46c1-8345-B72A4567E486}]

и удаляет из него строку, содержащую следующий фрагмент значения:

 " "="rundll32.exe advpack.dll,DelNodeRunDLL32 ..."

Кроме того, перезаписывает какие-то значения в ключе системного реестра

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

Этот фрагмент принадлежит "программному обеспечению" (более ранней версии троянца), прописанному в системе.
Троянец встраивает в вэб-броузер Internet Explorer ТулБар (ToolBar - дополнительную панель с опциями). Для подключения этого ТулБара к меню панелей вэб-броузера троянец создает новую запись в ключе реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
 "{5F1ABCDB-A875-46c1-8345-B72A4567E486}"=...


Также во время работы в сети Интернет троянец постоянно ищет более новые версии своей программы, а также скачивает с какого-то сервера файл f7FGFSx.exe, который устанавливает в систему под видом "программного обеспечения" с названиями "ISTbar" и/или "XXXToolBar", размещая его на диске как

Program Files\ISTbar\istbar_update.exe
и/или
Program Files\XXXToolBar\istbar_update.exe

и запускает на выполнение. Для определения присутствия в системе активной обновленной версии троянца в определенной области системной памяти создается уникальная метка-идентификатор под названием

rgjhj66asfffgghggghhj

Если по каким-либо причинам троянцу не удалось установить соединение с вышеупомянутыми серверами, то на экран могут выводиться окна, содержащие следующие сообщения:

Alert

can't retrieve infomation from
[ссылка, которую не удалось вызвать]

Please connect the internet and restart your browser.

Также при некоторых прочих условиях троянец может выдавать на экран и такое сообщение:

This will remove from your computer! Are you sure? If you want the toolbar to stop displayaing adult related links, click OK. You can switch back to the adult toolbar at anytime by clicking the same button you just clicked.

Если на зараженной машине установлена система Windows 2K/2K Server/XP, то троянец сохраняет на диске С: файл с какой-то картинкой, используемой при показе ТулБара в вэб-броузере Internet Explorer:

С:\Documents and Settings\123\Application Data\Hotbar\IESkins\083001edenC-2.bmp

Кроме того, троянец также сохраняет на диск еще один файл:

C:\Documents and Settings\Karl\My Documents\projects\ISTbar\XmlParser.cpp

Данную версию троянца (файл istbar.dll) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gj
Антивирус DrWeb: Trojan.Isbar.131
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.GJ


16. Trojan-Downloader.ISTbar.istsvc-II

Распространяется под названием istsvc.exe и имеет размер 12800 байт (в декомпрессированном виде - 36864 байта). По своему функционалу полностью идентичен вышеописанной модификации Trojan-Downloader.ISTbar.istsvc; устанавливается в систему теми же троянскими программами, что и указанный вариант, и отличается от него лишь незначительными техническими деталями.
Данную версию троянца (файл istsvc.exe) антивирусы детектируют так:

Антивирус Kaspersky AntiVirus: Trojan-Downloader.Win32.IstBar.gm
Антивирус DrWeb: Trojan.Isbar.116
Антивирус BitDefender Professional: Trojan.Downloader.IstBar.GM


Список детектирований загружаемых троянских файлов,
описания которых отсутствуют на нашем сайте.

Антивирус Kaspersky AntiVirus:
istsvc_updater.exe (описание отсутствует) - Trojan-Downloader.Win32.IstBar.gn
bb.exe - not-a-virus:AdWare.Win32.BargainBuddy (расширенным набором антивирусных баз)
igetnet.exe - not-a-virus:AdWare.Win32.IGetNet (расширенным набором антивирусных баз)
euniverse.exe (размер 184534 байта) - Trojan.Win32.Keenval.a
euniverse.exe (размер 140015 байт) - Trojan-Downloader.Win32.Keenval
lycos_ss.exe (троянец "SideSearch") - not-a-virus:AdWare.Win32.Sidesearch.b (расширенным набором антивирусных баз)
whenu.exe - not-a-virus:AdWare.Win32.SaveNow.ay (расширенным набором антивирусных баз)
keywordsinc.exe - Trojan-Downloader.NSIS.Agent.h
sr.exe - not-a-virus:AdWare.Win32.Relevance.a (расширенным набором антивирусных баз)
emusic.exe - not-a-virus:AdWare.Win32.Emusic.a (расширенным набором антивирусных баз)
targetsaver.exe - Trojan-Downloader.Win32.TSUpdate.f
ysb.dll - not-a-virus:AdWare.Win32.YourSiteBar.b (расширенным набором антивирусных баз)
WebRebates0.exe - not-a-virus:AdWare.Win32.WebRebates.d (расширенным набором антивирусных баз)

Антивирус DrWeb:
istsvc_updater.exe (описание отсутствует) - Trojan.Isbar.122 (в декомпрессированном виде не обнаруживает)
bb.exe - Adware.BargainBuddy
igetnet.exe - Adware.IGetNet
euniverse.exe (размер 184534 байта) - Trojan.KeenValAd
euniverse.exe (размер 140015 байт) - Trojan.KeenValAd и Trojan.Downloader.774
lycos_ss.exe (троянец "SideSearch") - Adware.SideSearch
whenu.exe - Adware.SaveNow
keywordsinc.exe - Trojan.Redir
sr.exe - Adware.Relevance
emusic.exe - Adware.Emusic
targetsaver.exe - Trojan.MulDrop.1501
ysb.dll - Adware.YsBar
WebRebates0.exe - Adware.Rebates

Антивирус BitDefender Professional:
istsvc_updater.exe (описание отсутствует) - Trojan.Downloader.IstBar.GN
bb.exe - Trojan.Clicker.Vb.EX (обнаруживает только выборочные варианты)
igetnet.exe - Application.Adware.Abetterintrnt.Dr
euniverse.exe (размер 184534 байта) - Trojan.Keenval.A
euniverse.exe (размер 140015 байт) - Trojan.Downloader.Keenval.A
lycos_ss.exe (троянец "SideSearch") - Backdoor.Blarul.D
whenu.exe - Trojan.Adware.Whenu.B
keywordsinc.exe - Trojan.Downloader.NSIS.Agent.H
sr.exe - не обнаруживает
emusic.exe - не обнаруживает
targetsaver.exe - Trojan.Downloader.TSUpdate.F
ysb.dll - не обнаруживает
WebRebates0.exe - не обнаруживает


Исследование вредоносного кода и разработка описания: Бройде Герман (aka VirusHunter)
Дата создания: 21.06.2005
Дата внесения последних изменений: 24.01.2007
Автор описания: Бройде Герман (aka VirusHunter)


Rambler's Top100

0.00201082229614