Показать сообщение отдельно
Старый 03.09.2005, 17:51   #44
MayDay
Лейтенант
 
Аватар для MayDay
 
Регистрация: 01.07.2004
Адрес: Квартира
Сообщений: 1,098
Сказал cпасибо: 0
Поблагодарили 6 раз в 4 сообщениях
Отправить сообщение для MayDay с помощью ICQ Отправить сообщение для MayDay с помощью MSN Отправить сообщение для MayDay с помощью Yahoo
Trojan-Downloader.Win32.IstBar.gen
Другие версии: .hx, .kc, .ja

Другие названия

Trojan-Downloader.Win32.IstBar.gen («Лаборатория Касперского») также известен как: Trojan.StartPage.61 (Doctor Web), TR/Dldr.IstBar.G.1 (H+BEDV), Trojan.Downloader.Istbar-38 (ClamAV)
Детектирование добавлено 01 дек 2004
Описание опубликовано 07 апр 2005
Поведение Trojan-Downloader, троянский загрузчик
Технические детали

Семейство троянских программ, предназначенных для скрытного скачивания из интернета на компьютер пользователя различных вредных программ.

В процессе работы могут быть созданы ключи реестра:

[HKLM\SOFTWARE\DR_S]
[HKCU\SOFTWARE\DR_S]
[HKLM\SOFTWARE\Classes\drs.n\uID]
[HKCU\SOFTWARE\Classes\drs.n\uID]

Особенностью семейства является универсальный механизм получения URL программ, подлежащих скачиванию. Так, каждые 30 минут программа скачивает файл-задание, к примеру, с адреса http://www.adzhooter.com/DR_S/gSD.html

Этот файл имеет следующий вид:
|5|20050406|
ts|http://www.adzhooter.com/DR_S/bp/as_8_new.exe|1|bs_8_new.exe|1.0|1|
adsh|http://www.adzhooter.com/DR_S/bp/afita.exe|2|afita.exe|1.2|1|
sfitb|http://www.adzhooter.com/DR_S/bp/SYSsfita.dll|3|SYSsfita.dll|1.0|2
sfitb||
ezu|http://www.adzhooter.com/DR_S/bp/wzStub.exe|3|wzStub.exe|1.0|1|
sfisb|http://www.adzhooter.com/DR_S/bp/ReplaceSearch.dll|3|ReplaceSearch
sfisb|.dll|1.0|2|

Таким образом, данный файл несет в себе полную информацию об адресах подлежащих закачке программ.

После запуска троянец регистрирует себя в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"<случайное имя>"="<путь до троянской программы>"

При каждой следующей загрузке Windows автоматически запустит файл трояна.

Троянец создает уникальный идентификатор «ISTsvcMUTEX» для определения своего присутствия в системе.

Троянец загружает файлы со следующих адресов:

http://install.xx***olbar.com/ist/softwares/
http://install.xx***olbar.com/ist/scripts/
http://www.ys**eb.com/ist/scripts/
http://www.ys**eb.com/ist/softwares/
MayDay вне форума