分享

当前位置: 王朝网络 >> 百科 >> Trojan-Downloader.Win32.IstBar.bj

Trojan-Downloader.Win32.IstBar.bj

王朝百科·作者佚名 2010-02-19

窄屏简体版字體: 小|中|大|超大

病毒名称： Trojan-Downloader.Win32.IstBar.bj

中文名称： IstBar.bj变种

病毒类型：木马

文件 MD5： 2BAFE93F5AE8260115098D1661B3DC83

公开范围：完全公开

危害等级：中

文件长度： 53,248 字节

感染系统： windows 98 及以上版本

开发工具： Microsoft Visual C++

加壳类型：未知壳

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

该病毒属木马类，它最主要的危害在于病毒运行后会下载好多其他恶意程序、广告插件到主机上运行。病毒运行后会修改注册表文件，在启动项中新建键值，病毒还会尝试连接网络，下载病毒相关文件到本地的%Program Files%、%Temp%文件夹下运行，该病毒对用户有一定的危害。

行为分析：

1、病毒运行后会修改注册表文件，在启动项中新建一些键值：

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：Saap

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：sahrd

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：sahre

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：saip

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：salm

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：saie

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：samds

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：sais

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：180ax

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：searchassistant

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：180sa

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：zango

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：msbb

......

2、病毒会尝试从以下网站下载病毒相关文件到本地运行：

http://install.x******bar.com/ist/scripts

/ist_shortcuts_list.php

http://install.x******bar.com/ist/softwares

/addins/rb32.exe

http://install.x******bar.com/ist/softwares

/addins/istsvc.exe

http://install.x******bar.com/ist/softwares/istupdates

/istsvc_updater.exe

http://install.x******bar.com/ist/softwares

/addins/bb.exe

http://install.x******bar.com/ist/softwares

/addins/igetnet.exe

http://install.x******bar.com/ist/softwares/addins

/lycos_ss.exe

http://install.x******bar.com/ist/softwares/addins

/statblaster.exe

http://install.x******bar.com/ist/softwares/addins

/ncase.exe

http://install.x******bar.com/ist/softwares/addins

/whenu.exe

http://install.x******bar.com/ist/softwares/addins

/keywordsinc.exe

http://install.x******bar.com/ist/softwares/addins

/commonname.exe

http://install.x******bar.com/ist/softwares/addins

/optimize.exe

http://install.x******bar.com/ist/softwares/addins

/sexy_download.exe

http://install.x******bar.com/ist/softwares/toolbars

/istbar_mainstream.dll

http://install.x******bar.com/ist/softwares/addins

/powerscan.exe

3、病毒将下载的病毒相关文件释放到以下位置，待下载完一个病毒文件后，病毒便会修改注册表文件，尝试删除这个病毒副本。

%Program FilesISTbaristbarcm.dll

%Program FilesISTsvcistsvc.exe

%Program FilesSACCsacc.exe

%Program Files%180Solutionssais.exe

%Program Files%ISTbaristbar.dll

%Program Files%YourSiteBarysb.dll

%Program Files%PowerScanpowerscan.exe

%Windows%<random name>.exe

%Temp%argetsaver.exe

%Temp%optimize.exe

%Temp%webrebates.exe

%Temp%hli.exe

%Temp%sidefind.exe

%Temp%cxtpls_loader.exe

%Temp%dealhelper.exe

%Temp%sahagent.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒相关文件：

%Program FilesISTbaristbarcm.dll

%Program FilesISTsvcistsvc.exe

%Program FilesSACCsacc.exe

%Program Files%180Solutionssais.exe

%Program Files%ISTbaristbar.dll

%Program Files%YourSiteBarysb.dll

%Program Files%PowerScanpowerscan.exe

%Windows%<random name>.exe

%Temp%argetsaver.exe

%Temp%optimize.exe

%Temp%webrebates.exe

%Temp%hli.exe

%Temp%sidefind.exe

%Temp%cxtpls_loader.exe

%Temp%dealhelper.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：Saap

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：sahrd

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：sahre

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：saip

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：salm

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：saie

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：samds

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：sais

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：180ax

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：searchassistant

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：180sa

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：zango

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串：msbb

点击展开全文

上一篇：紫菜滚鸡丝羹

下一篇：绿豆水果汤

免责声明：本文为网络用户发布，其观点仅代表作者个人观点，与本站无关，本站仅提供信息存储服务。文中陈述内容未经本站证实，其真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。

2023年上半年GDP全球前十五强
百态 2023-10-24

美众议院议长启动对拜登的弹劾调查
百态 2023-09-13

上海、济南、武汉等多地出现不明坠落物
探索 2023-09-06

印度或要将国名改为“巴拉特”
百态 2023-09-06

男子为女友送行，买票不登机被捕
百态 2023-08-20

手机地震预警功能怎么开？
干货 2023-08-06

女子4年卖2套房花700多万做美容：不但没变美脸，面部还出现变形
百态 2023-08-04

住户一楼被水淹还冲来8头猪
百态 2023-07-31

女子体内爬出大量瓜子状活虫
百态 2023-07-25

地球连续35年收到神秘规律性信号，网友：不要回答！
探索 2023-07-21

全球镓价格本周大涨27%
探索 2023-07-09

钱都流向了那些不缺钱的人，苦都留给了能吃苦的人
探索 2023-07-02

倩女手游刀客魅者强控制（强混乱强眩晕强睡眠）和对应控制抗性的关系
百态 2020-08-20

美国5月9日最新疫情：美国确诊人数突破131万
百态 2020-05-09

荷兰政府宣布将集体辞职
干货 2020-04-30

倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观：鹏程万里
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案神机营：射石饮羽
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山：拔刀相助
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案天工阁：鬼斧神工
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道：单枪匹马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：与虎谋皮
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：李代桃僵
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野：指鹿为马
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：小鸟依人
干货 2019-11-12

倩女幽魂手游师徒任务情义春秋猜成语答案金陵：千金买邻
干货 2019-11-12

推荐阅读

关注内容

>>返回首頁<<

靜靜地坐在廢墟上，四周的荒凉一望無際，忽然覺得，淒涼也很美

© 2005- 王朝網路版權所有