Analysis by: Maria Emreen Viray
 

HackTool:Win32/GendowsBatch (MICROSOFT)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 reportedInfection:
 System Impact Rating: :
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan Spy

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Détails techniques

File size: 36,437,501 bytes
File type: EXE
Memory resident: Non
Date de réception des premiers échantillons: 05 octobre 2021

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Fügt die folgenden Ordner hinzu:

  • %Program Files%\{BLOCKED}C51
  • %System%\{BLOCKED}JSPCSP
  • %Common Programs%\{BLOCKED}
  • %Common Programs%\{BLOCKED}\51楷翑忒
  • After uninstallation through ControlPanel or uninst.exe:
    • %User Temp%\~nsuA.tmp

Schleust die folgenden Dateien ein:

  • %Program Files%\{BLOCKED}C51\51boxtrace.eti
  • %Program Files%\{BLOCKED}C51\51fapiao.cer
  • %Program Files%\{BLOCKED}C51\51fapiaotest.cer
  • %Program Files%\{BLOCKED}C51\Assist.exe
  • %Program Files%\{BLOCKED}C51\Assist.exe.Config
  • %Program Files%\{BLOCKED}C51\BSWJURL.ini
  • %Program Files%\{BLOCKED}C51\C51CloudInvoiceAdapter.exe
  • %Program Files%\{BLOCKED}C51\C51CloudInvoiceProtect.exe
  • %Program Files%\{BLOCKED}C51\C51InvoiceAssist.exe
  • %Program Files%\{BLOCKED}C51\C51InvoiceGuide.exe
  • %Program Files%\{BLOCKED}C51\CertDecoder.dll
  • %Program Files%\{BLOCKED}C51\CertSecurity.dll
  • %Program Files%\{BLOCKED}C51\CloudInvoiceAdapterService.exe
  • %Program Files%\{BLOCKED}C51\DataTransferToolDownload.exe
  • %Program Files%\{BLOCKED}C51\FQFQFQFQ.cer
  • %Program Files%\{BLOCKED}C51\FWS51PTC.cer
  • %Program Files%\{BLOCKED}C51\JSDiskDLL.dll
  • %Program Files%\{BLOCKED}C51\JsDevInfoDll.dll
  • %Program Files%\{BLOCKED}C51\JspInterface.dll
  • %Program Files%\{BLOCKED}C51\LogCtrl.cfg
  • %Program Files%\{BLOCKED}C51\NISEC_UKEYC.dll
  • %Program Files%\{BLOCKED}C51\Net_Util.dll
  • %Program Files%\{BLOCKED}C51\QWER1234.cer
  • %Program Files%\{BLOCKED}C51\RSADecrypt.dll
  • %Program Files%\{BLOCKED}C51\ReadAreaCode.dll
  • %Program Files%\{BLOCKED}C51\RegAsm.exe
  • %Program Files%\{BLOCKED}C51\SOFC.dll
  • %Program Files%\{BLOCKED}C51\Sm2Clt.dll
  • %Program Files%\{BLOCKED}C51\TaxBox.dll
  • %Program Files%\{BLOCKED}C51\TaxUKeyBase.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-file-l1-2-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-file-l2-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-localization-l1-2-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-processthreads-l1-1-1.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-synch-l1-2-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-core-timezone-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-convert-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-environment-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-filesystem-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-heap-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-locale-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-math-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-multibyte-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-runtime-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-stdio-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-string-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-time-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\api-ms-win-crt-utility-l1-1-0.dll
  • %Program Files%\{BLOCKED}C51\cryp_api.dll
  • %Program Files%\{BLOCKED}C51\decodecert.dll
  • %Program Files%\{BLOCKED}C51\delUKeyLog.bat
  • %Program Files%\{BLOCKED}C51\download.exe
  • %Program Files%\{BLOCKED}C51\ebasic__{BLOCKED}.dat
  • %Program Files%\{BLOCKED}C51\gbfw.bat
  • %Program Files%\{BLOCKED}C51\imgdecoder-gdip.dll
  • %Program Files%\{BLOCKED}C51\imgdecoder-png.dll
  • %Program Files%\{BLOCKED}C51\interface.ini
  • %Program Files%\{BLOCKED}C51\libcrypto-1_1.dll
  • %Program Files%\{BLOCKED}C51\libcurl.dll
  • %Program Files%\{BLOCKED}C51\libcurl_7.67.0.dll
  • %Program Files%\{BLOCKED}C51\libeay32.dll
  • %Program Files%\{BLOCKED}C51\libssl-1_1.dll
  • %Program Files%\{BLOCKED}C51\log4cxx.dll
  • %Program Files%\{BLOCKED}C51\logo.ico
  • %Program Files%\{BLOCKED}C51\msvcr100.dll
  • %Program Files%\{BLOCKED}C51\msvcr71.dll
  • %Program Files%\{BLOCKED}C51\paho-mqtt3c.dll
  • %Program Files%\{BLOCKED}C51\privcfg.ini
  • %Program Files%\{BLOCKED}C51\pthreadVC2.dll
  • %Program Files%\{BLOCKED}C51\public.pem
  • %Program Files%\{BLOCKED}C51\regasm.exe.config
  • %Program Files%\{BLOCKED}C51\render-gdi.dll
  • %Program Files%\{BLOCKED}C51\resprovider-7zip.dll
  • %Program Files%\{BLOCKED}C51\sangfor.dll
  • %Program Files%\{BLOCKED}C51\softSysVersion
  • %Program Files%\{BLOCKED}C51\soui.dll
  • %Program Files%\{BLOCKED}C51\sqlite3.dll
  • %Program Files%\{BLOCKED}C51\ssleay32.dll
  • %Program Files%\{BLOCKED}C51\swukeyinstaller.exe
  • %Program Files%\{BLOCKED}C51\trust.txt
  • %Program Files%\{BLOCKED}C51\trusttest.txt
  • %Program Files%\{BLOCKED}C51\ucrtbase.dll
  • %Program Files%\{BLOCKED}C51\uires.7z
  • %Program Files%\{BLOCKED}C51\uires_ypy.7z
  • %Program Files%\{BLOCKED}C51\ukeyinfo.ini
  • %Program Files%\{BLOCKED}C51\uniAcceptFramework.dll
  • %Program Files%\{BLOCKED}C51\uninst.ico
  • %Program Files%\{BLOCKED}C51\update.exe
  • %Program Files%\{BLOCKED}C51\utilities.dll
  • %Program Files%\{BLOCKED}C51\vcredist.x86_2015.exe
  • %Program Files%\{BLOCKED}C51\xihaa.dll
  • %Program Files%\{BLOCKED}C51\ykpzs.cait
  • %Program Files%\{BLOCKED}C51\zlib1.dll
  • %Program Files%\{BLOCKED}C51\zlibwapi.dll
  • %System%\ai109b_gm.dll
  • %System%\CTptkcs.dll
  • %System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe
  • %System%\{BLOCKED}JSPCSP\cspPinDlg.dll
  • %System%\{BLOCKED}JSPCSP\cspsign.dll
  • %System%\{BLOCKED}JSPCSP\LYFCSP.dll
  • %System%\{BLOCKED}JSPCSP\tokenh.dll
  • %Common Programs%\{BLOCKED}\51楷翑忒\51楷翑忒.lnk
  • %Common Programs%\{BLOCKED}\51楷翑忒\迠婥 51楷翑忒.lnk
  • %Program Files%\{BLOCKED}C51\uninst.exe
  • %User Temp%\dd_vcredist_x86_{YYYYMMDD}{Random Digits}.log
  • Temporary files (attempt to delete afterwards):
    • %User Temp%\ns{Random Characters}.tmp\killer.dll
    • %User Temp%\ns{Random Characters}.tmp\System.dll
    • %User Temp%\ns{Random Characters}.tmp\KillProcDLL.dll
    • %User Temp%\ns{Random Characters}.tmp\nsExec.dll
    • %User Temp%\ns{Random Characters}.tmp\ns{Random Characters}.tmp
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\wixstdba.dll
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\{Random Digits}\license.rtf
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\thm.xml
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\thm.wxl
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\logo.png
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\license.rtf
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\{Random Digits}\thm.wxl
    • %User Temp%\{74d0e5db-b326-4dae-a6b2-445b9de1836e}\.ba1\BootstrapperApplicationData.xml
  • After uninstallation through ControlPanel or uninst.exe:
    • %User Temp%\~nsuA.tmp\Un_A.exe
    • %User Temp%\~nsuA.tmp\Un_B.exe

Fügt die folgenden Prozesse hinzu:

  • "%User Temp%p\ns{Random Characters}.tmp\ns{Random Characters}.tmp" "vcredist.x86_2015.exe" /quiet /install /norestart
  • "vcredist.x86_2015.exe" /quiet /install /norestart
  • "%Program Files%\{BLOCKED}C51\vcredist.x86_2015.exe" /quiet /install /norestart -burn.unelevated BurnPipe.{Generated GUID 1} {Generated GUID 2} {Random Value}
  • "%Program Files%\{BLOCKED}C51\C51InvoiceGuide.exe"
  • After uninstallation through ControlPanel or uninst.exe:
    • "%User Temp%p\~nsuA.tmp\Un_B.exe" _?=%Program Files%\{BLOCKED}C51\
    • "%User Temp%p\ns{Random Characters}.tmp\ns{Random Characters}.tmp" "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /stop
    • "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /stop
    • "%User Temp%p\ns{Random Characters}.tmp\ns{Random Characters}.tmp" "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /remove
    • "%System%\{BLOCKED}JSPCSP\{BLOCKED}_service_admin.exe" /remove

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0
Image Path = %System%\ai109b_gm.dll

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0
DefaultApplication = SM2

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0
DefaultContainer = SM2CONTAINER

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0
Image Path = %System%\{BLOCKED}JSPCSP\cspsign.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0
Signature = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0
Type = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey
ATR = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey
ATRMask = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey
Crypto Provider = {BLOCKED} Cryptographic Service Provider V1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
DisplayName = 51楷翑忒 1.3.8

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
DisplayIcon = %Program Files%\{BLOCKED}C51\logo.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
UninstallString = %Program Files%\{BLOCKED}C51\uninst.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
DisplayVersion = 1.3.8

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
URLInfoAbout = http://www.{BLOCKED}.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
Publisher = {BLOCKED}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
GroupFlag = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒
LocalFlag = 0

Andere Details

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider

HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\
Provider\{BLOCKED} JSP SKF V1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Defaults\Provider\
{BLOCKED} Cryptographic Service Provider V1.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Cryptography\Calais\SmartCards\
{BLOCKED}Soft JSP UsbKey

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\
51楷翑忒

  Solutions

Moteur de scan minimum: 9.800
First VSAPI Pattern File: 17.116.05
First VSAPI Pattern Release Date: 07 octobre 2021
VSAPI OPR Pattern Version: 17.117.00
VSAPI OPR Pattern Release Date: 08 octobre 2021

Step 1

Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

<p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p><p> Beachten Sie, dass nicht alle Dateien, Ordner, Registrierungsschlüssel und Einträge auf Ihrem Computer installiert sind, während diese Malware / Spyware / Grayware ausgeführt wird. Dies kann auf eine unvollständige Installation oder andere Betriebssystembedingungen zurückzuführen sein. Fahren Sie mit dem nächsten Schritt fort. </ p>

Step 3

TrojanSpy.Win32.PSKEYLOGGER.A über die eigene Option zum Deinstallieren entfernen

[ learnMore ]
Den Grayware-Prozess deinstallieren

Step 4

Diesen Registrierungswert löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
    • Image Path = %System%\ai109b_gm.dll
  • In HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
    • DefaultApplication = SM2
  • In HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
    • DefaultContainer = SM2CONTAINER
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey
    • ATR = {Hex Values}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey
    • ATRMask = {Hex Values}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey
    • Crypto Provider = {BLOCKED} Cryptographic Service Provider V1.0
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
    • Image Path = %System%\{BLOCKED}JSPCSP\cspsign.dll
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
    • Signature = {Hex Values}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
    • Type = 1

Step 5

Diesen Registrierungsschlüssel löschen

[ learnMore ]

Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.

  • HKEY_LOCAL_MACHINE\SOFTWARE\gbskf
  • HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider
  • HKEY_LOCAL_MACHINE\SOFTWARE\gbskf\Provider\{BLOCKED} JSP SKF V1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\{BLOCKED} Cryptographic Service Provider V1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais\SmartCards\{BLOCKED}Soft JSP UsbKey

Step 6

Diese Datei suchen und löschen

[ learnMore ]
Möglicherweise sind einige Komponentendateien verborgen. Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Dateien und Ordner in den Suchergebnissen zu berücksichtigen.
  • %User Temp%\ns{Random Characters}.tmp\killer.dll
  • %User Temp%\ns{Random Characters}.tmp\System.dll
  • %User Temp%\ns{Random Characters}.tmp\KillProcDLL.dll
  • %User Temp%\ns{Random Characters}.tmp\nsExec.dll
  • %User Temp%\ns{Random Characters}.tmp\ns{Random Characters}.tmp
  • %System%\ai109b_gm.dll
  • %System%\CTptkcs.dll

Step 7

Diesen Ordner suchen und löschen

[ learnMore ]
Aktivieren Sie unbedingt das Kontrollkästchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu berücksichtigen.
  • %User Temp%\ns{Random Characters}.tmp

Step 8

Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TrojanSpy.Win32.PSKEYLOGGER.A entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.


Participez à notre enquête!