Trojan-Downloader.Win32.IstBar.ij

Trojan-Downloader.Win32.IstBar.ij («Лаборатория Касперского») также известен как: Trojan.Isbar.214 (Doctor Web), TR/Dldr.IstBar.IJ.1 (H+BEDV), Spyware/ISTbar (Panda), Win32/TrojanDownloader.IstBar.gen (Eset)

Программа представляет собой Windows PE EXE-файл. Имеет размер около 10 КБ. Упакована UPX. Размер распакованного файла — около 23 КБ.

После запуска троянец регистрирует себя в ключе автозапуска системного реестра:

  
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "<случайное имя>"="<путь до троянской программы>"

При каждой следующей загрузке Windows автоматически запустит файл троянца.

Также троянец создает следующий ключ системного реестра:

  
  [HKCU\Software\IST]

Данный троянец скачивает с удаленного сервера в интернете другую версию Trojan-Downloader.Win32.Istbar и запускает ее на исполнение.