Bonjour,
IstBar - extraits de
http://assiste.com
Autres noms
Istbar (de Ist car développé par IST (ISearchTech - Integrated Search Technology) quelquefois orthographié 1stbar (pour first bar, probablement une erreur de lecture du I (i majuscule) pris pour le chiffre 1 suivi de st pour "first").
xxxtoolbar, istsvc.exe, Adware.Istbar, AUpdate, DownloadPlus, TrojanDownloader.Win32.Toolber.b [Kaspersky].
La variante ISTbat/AUpdate est aussi connue sous le nom de SearchBarCash-Hijacker.
La variante ISTbar/MSCache est aussi connue sous le nom de MSUpdates\MSCache
ISTbar est appelé Xrenoder par PestPatrol car c'est le nom de l'un des sites "bénéficiant" de ce hijack depuis avril 2003 avec une implantation très agressive.
Dans la pyramide (cascade) de download, on connait plusieurs variantes d'ISTbar dont ISTbar/AUpdate et ISTbar/XXXToolbar qui, toutes les deux, en tant que downloader, download et installent à leur tour le gestionnaire de publicités pornographiques (pop-ups) RapidBlaster/lp. La variante AUpdate, en tant que downloader, download et installe à son tour un autre downloader, 'DownloadPlus'. PestPatrol le voit également downloader l'adware Bargain Buddy. La variante MSCache installe, en cascade, nCase.
ISTbar utilise, pour implanter son JavaScript, un contrôle ActiveX très agressif, depuis des sites affiliés. Exploite une faille ancienne et poursuit son installation même si vous la refusez.
Variantes
- La variante d'ISTbar appelée AUpdate s'appuie sur une version personnalisée de TinyBar (une malveillance généraliste permettant de créer des hijack, des Adwares de type intrusifs avec boutons et des barres d'outils dans Internet Explorer et qui est commercialisée sur un site sans scrupule auprès de Webmasters tout autant sans scrupule) pour s'implémenter en tant que barre d'outils (toolbar). Ce hijacker est alors pris en charge par les sites my-internet.info et blazefind.com. Sa distribution est pilotée depuis searchbarcash.com. Les mises à jour sont téléchargées par un process nommé AUpdate (à tuer par alt-ctrl-suppr). Cette variante est aussi connue sous le nom de SearchBarCash-Hijacker.
- La variante d'ISTbar appelée MSCache s'appuie également sur une version personnalisée de TinyBar pour s'implémenter en tant que barre d'outils (toolbar). Les mises à jour sont téléchargées par un BHO (Browser Helper Object) appelé mscache.dll. Les serveurs sont skoobidoo.com et www2.skoobidoo.com
- La variante d'ISTbar appelée XXXToolbar s'appuie sur une version personnalisée de Pugi-Toolbar. Tout son univers (liens, publicités, mots clés etc. ...) est orienté pornographie. Cette malveillance est pilotée par les serveurs xxxtoolbar.com et slotch.com. Sa distribution est pilotée depuis toolbarcash.com.
IstBar - éradication en français
http://assiste.free.fr/p/internet_attaquants/istbar.php
En anglais:
http://securityresponse.symantec.com/avcenter/venc/data/adware.istbar.html
http://simplythebest.net/info/spyware/istbar_spyware.html
http://www.pestpatrol.com/PestInfo/i/istbar.asp
http://www.doxdesk.com/parasite/ISTbar.html
Terdef
http://assiste.com
