Analyse von: Maria Emreen Viray   
 

HackTool:Win32/GendowsBatch (MICROSOFT)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 reportedInfection:
 Beeinträchtigung der Systemleistung ::
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Trojan Spy

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Technische Details

Dateigröße: 36,437,501 bytes
Dateityp: EXE
Speicherresiden: Nein
Erste Muster erhalten am: 05 Oktober 2021

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

  • %Program Files%\{BLOCKED}C51
  • %System%\{BLOCKED}JSPCSP
  • %Common Programs%\{BLOCKED}
  • %Common Programs%\{BLOCKED}\51楷翑忒
  • After uninstallation through ControlPanel or uninst.exe:
    • %User Temp%\~nsuA.tmp

Schleust die folgenden Dateien ein:

  • %Program Files%\{BLOCKED}C51\51boxtrace.eti
  • %Program Files%\{BLOCKED}C51\51fapiao.cer
  • %Program Files%\{BLOCKED}C51\51fapiaotest.cer
  • %Program Files%\{BLOCKED}C51\Assist.exe
  • %Program Files%\{BLOCKED}C51\Assist.exe.Config
  • %Program Files%\{BLOCKED}C51\BSWJURL.ini
  • %Program Files%\{BLOCKED}C51\C51CloudInvoiceAdapter.exe
  • %Program Files%\{BLOCKED}C51\C51CloudInvoiceProtect.exe
  • %Program Files%\{BLOCKED}C51\C51InvoiceAssist.exe
  • %Program Files%\{BLOCKED}C51\C51InvoiceGuide.exe
  • %Program Files%\{BLOCKED}C51\CertDecoder.dll
  • %Program Files%\{BLOCKED}C51\CertSecurity.dll
  • %Program Files%\{BLOCKED}C51\CloudInvoiceAdapterService.exe
  • %Program Files%\{BLOCKED}C51\DataTransferToolDownload.exe
  • %Program Files%\{BLOCKED}C51\FQFQFQFQ.cer
  • %Program Files%\{BLOCKED}C51\FWS51PTC.cer
  • %Program Files%\{BLOCKED}C51\JSDiskDLL.dll
  • %Program Files%\{BLOCKED}C51\JsDevInfoDll.dll
  • %Program Files%\{BLOCKED}C51\JspInterface.dll
  • %Program Files%\{BLOCKED}C51\LogCtrl.cfg
  • %Program Files%\{BLOCKED}C51\NISEC_UKEYC.dll
  • %Program Files%\{BLOCKED}C51\Net_Util.dll
  • %Program Files%\{BLOCKED}C51\QWER1234.cer
  • %Program Files%\{BLOCKED}C51\RSADecrypt.dll
  • %Program Files%\{BLOCKED}C51\ReadAreaCode.dll
  • %Program Files%\{BLOCKED}C51\RegAsm.exe
  • %Program Files%\{BLOCKED}C51\SOFC.dll
  • %Program Files%\{BLOCKED}C51\Sm2Clt.dll
  • %Program Files%\{BLOCKED}C51\TaxBox.dll
  • %Program Files%\{BLOCKED}C51\TaxUKeyBase.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-file-l1-2-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-file-l2-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-localization-l1-2-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-processthreads-l1-1-1.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-synch-l1-2-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-timezone-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-convert-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-environment-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-filesystem-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-heap-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-locale-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-math-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-multibyte-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-runtime-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-stdio-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-string-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-time-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-utility-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\cryp_api.dll
  • %Program Files%\{BLOCKED}C51\decodecert.dll
  • %Program Files%\{BLOCKED}C51\delUKeyLog.bat
  • %Program Files%\{BLOCKED}C51\download.exe
  • %Program Files%\{BLOCKED}C51\ebasic__{BLOCKED}.dat
  • %Program Files%\{BLOCKED}C51\gbfw.bat
  • %Program Files%\{BLOCKED}C51\imgdecoder-gdip.dll
  • %Program Files%\{BLOCKED}C51\imgdecoder-png.dll
  • %Program Files%\{BLOCKED}C51\interface.ini
  • %Program Files%\{BLOCKED}C51\libcrypto-1_1.dll
  • %Program Files%\{BLOCKED}C51\libcurl.dll
  • %Program Files%\{BLOCKED}C51\libcurl_7.67.0.dll
  • %Program Files%\{BLOCKED}C51\libeay32.dll
  • %Program Files%\{BLOCKED}C51\libssl-1_1.dll
  • %Program Files%\{BLOCKED}C51\log4cxx.dll
  • %Program Files%\{BLOCKED}C51\logo.ico
  • %Program Files%\{BLOCKED}C51\msvcr100.dll
  • %Program Files%\{BLOCKED}C51\msvcr71.dll
  • %Program Files%\{BLOCKED}C51\paho-mqtt3c.dll
  • %Program Files%\{BLOCKED}C51\privcfg.ini
  • %Program Files%\{BLOCKED}C51\pthreadVC2.dll
  • %Program Files%\{BLOCKED}C51\public.pem
  • %Program Files%\{BLOCKED}C51\regasm.exe.config
  • %Program Files%\{BLOCKED}C51\render-gdi.dll
  • %Program Files%\{BLOCKED}C51\resprovider-7zip.dll
  • %Program Files%\{BLOCKED}C51\sangfor.dll
  • %Program Files%\{BLOCKED}C51\softSysVersion
  • %Program Files%\{BLOCKED}C51\soui.dll
  • %Program Files%\{BLOCKED}C51\sqlite3.dll
  • %Program Files%\{BLOCKED}C51\ssleay32.dll
  • %Program Files%\{BLOCKED}C51\swukeyinstaller.exe
  • %Program Files%\{BLOCKED}C51\trust.txt
  • %Program Files%\{BLOCKED}C51\trusttest.txt
  • %Program Files%\{BLOCKED}C51\ucrtbase.dll
  • %Program Files%\{BLOCKED}C51\uires.7z
  • %Program Files%\{BLOCKED}C51\uires_ypy.7z
  • %Program Files%\{BLOCKED}C51\ukeyinfo.ini
  • %Program Files%\{BLOCKED}C51\uniAcceptFramework.dll
  • %Program Files%\{BLOCKED}C51\uninst.ico
  • %Program Files%\{BLOCKED}C51\update.exe
  • %Program Files%\{BLOCKED}C51\utilities.dll
  • %Program Files%\{BLOCKED}C51\vcredist.x86_2015.exe
  • %Program Files%\{BLOCKED}C51\xihaa.dll
  • %Program Files%\{BLOCKED}C51\ykpzs.cait
  • %Program Files%\{BLOCKED}C51\zlib1.dll
  • %Program Files%\{BLOCKED}C51\zlibwapi.dll
  • %System%\ai109b_gm.dll
  • %System%\CTptkcs.dll
  • %System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe
  • %System%\{BLOCKED}JSPCSP\cspPinDlg.dll
  • %System%\{BLOCKED}JSPCSP\cspsign.dll
  • %System%\{BLOCKED}JSPCSP\LYFCSP.dll
  • %System%\{BLOCKED}JSPCSP\tokenh.dll
  • %Common Programs%\{BLOCKED}\51楷翑忒\51楷翑忒.lnk
  • %Common Programs%\{BLOCKED}\51楷翑忒\迠婥 51楷翑忒.lnk
  • %Program Files%\{BLOCKED}C51\uninst.exe
  • %User Temp%\dd_vcredist_x86_{YYYYMMDD}{Random Digits}.log
  • Temporary files (attempt to delete afterwards):
    • %User Temp%\ns{Random Characters}.tmp\killer.dll
    • %User Temp%\ns{Random Characters}.tmp\System.dll
    • %User Temp%\ns{Random Characters}.tmp\KillProcDLL.dll
    • %User Temp%\ns{Random Characters}.tmp\nsExec.dll
    • %User Temp%\ns{Random Characters}.tmp\ns{Random Characters}.tmp
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\wixstdba.dll
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\{Random Digits}\license.rtf
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\thm.xml
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\thm.wxl
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\logo.png
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\license.rtf
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\{Random Digits}\thm.wxl
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\BootstrapperApplicationData.xml
  • After uninstallation through ControlPanel or uninst.exe:
    • %User Temp%\~nsuA.tmp\Un_A.exe
    • %User Temp%\~nsuA.tmp\Un_B.exe

Fügt die folgenden Prozesse hinzu:

  • "%User Temp%p\ns{Random Characters}.tmp\ns{Random Characters}.tmp" "vcredist.x86_2015.exe" /quiet /install /norestart
  • "vcredist.x86_2015.exe" /quiet /install /norestart
  • "%Program Files%\{BLOCKED}C51\vcredist.x86_2015.exe" /quiet /install /norestart -burn.unelevated BurnPipe.{Generated GUID 1} {Generated GUID 2} {Random Value}
  • "%Program Files%\{BLOCKED}C51\C51InvoiceGuide.exe"
  • After uninstallation through ControlPanel or uninst.exe:
    • "%User Temp%p\~nsuA.tmp\Un_B.exe" _?=%Program Files%\{BLOCKED}C51\
    • "%User Temp%p\ns{Random Characters}.tmp\ns{Random Characters}.tmp" "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /stop
    • "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /stop
    • "%User Temp%p\ns{Random Characters}.tmp\ns{Random Characters}.tmp" "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /remove
    • "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /remove

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0
Image Path = %System%\ai109b_gm.dll

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0
DefaultApplication = SM2

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0
DefaultContainer = SM2CONTAINER

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0
Image Path = %System%\{BLOCKED}JSPCSP\cspsign.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0
Signature = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0
Type = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey
ATR = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey
ATRMask = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey
Crypto Provider = {BLOCKED} Cryptographic Service Provider V1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
DisplayName = 51楷翑忒 1.3.8

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
DisplayIcon = %Program Files%\{BLOCKED}C51\logo.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
UninstallString = %Program Files%\{BLOCKED}C51\uninst.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
DisplayVersion = 1.3.8

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
URLInfoAbout = http://www.{BLOCKED}.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
Publisher = {BLOCKED}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
GroupFlag = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
LocalFlag = 0

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒

  Lösungen

Mindestversion der Scan Engine: 9.800
Erste VSAPI Pattern-Datei: 17.116.05
Erste VSAPI Pattern veröffentlicht am: 07 Oktober 2021
VSAPI OPR Pattern-Version: 17.117.00
VSAPI OPR Pattern veröffentlicht am: 08 Oktober 2021

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

TrojanSpy.Win32.PSKEYLOGGER.A über die eigene Option zum Deinstallieren entfernen

[ learnMore ]
Den Grayware-Prozess deinstallieren

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
    • Image Path = %System%\ai109b_gm.dll
  • In HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
    • DefaultApplication = SM2
  • In HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
    • DefaultContainer = SM2CONTAINER
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey
    • ATR = {Hex Values}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey
    • ATRMask = {Hex Values}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey
    • Crypto Provider = {BLOCKED} Cryptographic Service Provider V1.0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
    • Image Path = %System%\{BLOCKED}JSPCSP\cspsign.dll
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
    • Signature = {Hex Values}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
    • Type = 1

Step 5

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • HKEY_LOCAL_MACHINE\SOFTWARE\gbskf
  • HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider
  • HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey

Step 6

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %User Temp%\ns{Random Characters}.tmp\killer.dll
  • %User Temp%\ns{Random Characters}.tmp\System.dll
  • %User Temp%\ns{Random Characters}.tmp\KillProcDLL.dll
  • %User Temp%\ns{Random Characters}.tmp\nsExec.dll
  • %User Temp%\ns{Random Characters}.tmp\ns{Random Characters}.tmp
  • %System%\ai109b_gm.dll
  • %System%\CTptkcs.dll

Step 7

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %User Temp%\ns{Random Characters}.tmp

Step 8

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TrojanSpy.Win32.PSKEYLOGGER.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Nehmen Sie an unserer Umfrage teil