Троянская программа, которая без ведома пользователя загружает на компьютер файлы из сети Интернет и запускает их на исполнение.
Деструктивная активность
После запуска троянец ищет в системном реестре следующие ключи:
[HKLM\Software\ISTsvc] "popup_url" = "http://www.slotch.com/ist/scripts/istsvc_***_data.php" "version" "account_id" "app_date"
Если первого из этих ключей не существует, то он генерируется вирусом.
Затем троянец пытается установить интернет-соединение. В случае неудачи работа вредоносной программы завершается. Если же подключение произведено успешно, происходит скачивание файла «istsvc.exe», расположенного по адресу: http://install.***toolbar.com/ist/softwares/addins/istsvc.exe — имеет размер 21504 байта, детектируется Антивирусом Касперского как Trojan-Downloader.Win32.IstBar.pd
Загруженный файл сохраняется во временном каталоге текущего пользователя:
%Documents and Settings%\%Current_user%\Local Settings\Temp\istsvc.exe
Далее троянец создает каталог «%Program Files%\ISTsvc», копирует в него файл «istsvc.exe» и запускает его на исполнение. После этого вирус удаляет скачанный файл из временного каталога и завершает свою работу.
Другие названия
Trojan-Downloader.Win32.IstBar.bo («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.IstBar.bo («Лаборатория Касперского»), Trojan.Isbar.40960 (Doctor Web), Troj/Istbar-BO (Sophos), TrojanDownloader:Win32/IstBar.CE (RAV), TROJ_ISTBAR.CE (Trend Micro), TR/Dldr.IstBar.BO (H+BEDV), Win32:Trojan-gen. (ALWIL), Downloader.Istbar.BX (Grisoft), Trojan.Downloader.IstBar.BO (SOFTWIN), Trojan.Downloader.IstBar.BO (ClamAV), Spyware/ISTbar (Panda), Win32/TrojanDownloader.IstBar.CE (Eset)
Живой, мертвый или в суперпозиции? Узнайте в нашем канале