이름 : Troj/Istbar-EA
다른 이름 :
(1) Trojan-Dropper.Win32.Agent.xtc
(2) trojan
구분 : 바이러스/스파이웨어
종류 : 트로이
영향받는 운영체제 : 윈도우
영향 : 레지스트리에 자신을 설치한다.

Troj/Istbar-EA는 윈도우 기반 트로이이다.

Troj/Istbar-EA는 HTTP를 통해 원격 서버와 통신하고 인터넷에 접속하는 기능을 포함한다.

Troj/Istbar-EA가 설치되면 아래의 파일들이 생성된다.

<Desktop>\Cheap Pharmacy Online.url
<Desktop>\Search Online.url
<Desktop>\VIP Casino.url
<Favorites>\Cheap Pharmacy Online.url
<Favorites>\Search Online.url
<Favorites>\VIP Casino.url
<User>\Start Menu\Cheap Pharmacy Online.url
<User>\Start Menu\Search Online.url
<User>\Start Menu\VIP Casino.url
<System>\c.ico
<System>\lsystipl64.dll
<System>\m.ico
<System>\s.ico
<System>\sv.exe

Isystipl64.dll는 Microsoft Internet Explorer에 대한 COM 객체와 Browser Helper Object(BHO)로 등록되어 아래의 레지스트리를 생성한다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1F88A6F5-908C-4C28-9A81-829953C5F5C5}
HKCR\CLSID\{1F88A6F5-908C-4C28-9A81-829953C5F5C5}
HKCR\Interface\{06360872-0310-49C1-8EDA-953E73941E3E}
HKCR\Interface\{419803E0-EBB5-418E-BCDD-8EA63647EC5E}
HKCR\TypeLib\{10026069-7A5F-4531-811E-C8DF20643BEE}

레지스트리는 아래와 같이 설정된다.

HKCR\Kiolld\CLSID
(default)
{1F88A6F5-908C-4C28-9A81-829953C5F5C5}

HKCR\gs23d1.Bho\CLSID
(default)
{1F88A6F5-908C-4C28-9A81-829953C5F5C5}

레지스트리는 아래와 같이 생성된다.

HKCU\Software\Microsoft\Bind
HKCR\Kiolld
HKCR\gs23d1.Bho