help.exe

样本来至剑盟,一个下载者。
 
24日的卡吧、Dr等都没报。

文件名称:help.exe
文件大小:22980 bytes
AV命名:Generic.PWStealer.2F1D414B(BD)
依赖平台:Windows(9X以上系统)
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:Trojan
文件MD5:87d821d0b0b0fcfede0519c75ef8292f
 
病毒行为:
 
1、释放病毒文件:
 
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.ins   27588 字节
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.jup   22980 字节
 
2、System16.ins 插入Explorer进程,并使用Hook技术监视消息。
 
3、删除文件:
 
%Systemroot%\system32\dllcache\verclsid.exe
%Systemroot%\system32\verclsid.exe

4、依附宿主,反掸连接61.152.255.*** 61.177.95.***等下载木马:
 
%Systemroot%\mppds.exe
%Systemroot%\system32\dhbini.dll
%Systemroot%\system32\dhbpri.dll
%Systemroot%\system32\jhaini.dll
%Systemroot%\system32\jhapri.dll
%Systemroot%\system32\jzeini.dll
%Systemroot%\system32\jzepri.dll
%Systemroot%\system32\mppds.dll
%Systemroot%\system32\myaini1.dll
%Systemroot%\system32\mybpri.dll
%Systemroot%\system32\qhbpri.dll
%Systemroot%\system32\wdbini.dll
%Systemroot%\system32\wdbpri.dll
%Systemroot%\system32\wgdini.dll
%Systemroot%\system32\wgdpri.dll
%Systemroot%\system32\wldini.dll
%Systemroot%\system32\wldpri.dll
%Systemroot%\system32\ztkini.dll
%Systemroot%\system32\ztkpri.dll
%Systemroot%\system32\zxeini.dll
%Systemroot%\system32\zxepri.dll

(临时文件夹里的略)
有包括:QQ   魔域 大话西游 QQ华夏 完美世界等网游盗号木马。
 
使用WH_KEYBOARD、WH_MOUSE,Hook技术监视键盘和鼠标的操作获得帐号密码。
 
解决方法:
 
[url]http://free.ys168.com/?gudugengkekao[/url]下载:
 
冰刃.rar 2,110KB
 
sreng2.5.zip 780KB
 
下载后直接放桌面,关闭不需要的进程,断开网络。
 
1、打开冰刃,设置―禁止进线程创建―确定。
 
2、利用冰刃“文件”功能,删除:
 
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.ins
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.jup
 
这2个是重点,还有以下的盗号木马:
 
%Systemroot%\mppds.exe
%Systemroot%\system32\dhbini.dll
%Systemroot%\system32\dhbpri.dll
%Systemroot%\system32\jhaini.dll
%Systemroot%\system32\jhapri.dll
%Systemroot%\system32\jzeini.dll
%Systemroot%\system32\jzepri.dll
%Systemroot%\system32\mppds.dll
%Systemroot%\system32\myaini1.dll
%Systemroot%\system32\mybpri.dll
%Systemroot%\system32\qhbpri.dll
%Systemroot%\system32\wdbini.dll
%Systemroot%\system32\wdbpri.dll
%Systemroot%\system32\wgdini.dll
%Systemroot%\system32\wgdpri.dll
%Systemroot%\system32\wldini.dll
%Systemroot%\system32\wldpri.dll
%Systemroot%\system32\ztkini.dll
%Systemroot%\system32\ztkpri.dll
%Systemroot%\system32\zxeini.dll
%Systemroot%\system32\zxepri.dll
 
3、设置冰刃,重启并监视。
 
4、重启后打开SREng,删除(不一定全):
 
注册表:
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell><"C:\winnt\system32\Rundll32.exe" "C:\winnt\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\admin\LOCALS~1\Temp\dat7.tmp">   [N/A]
     <qrumxel><C:\DOCUME~1\admin\LOCALS~1\Temp\explorei.exe>   []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
     <mppds><C:\winnt\mppds.exe>   []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
     <AppInit_DLLs><jhapri.dll>   []
注意,这个键不要删除,编辑置空,打开SREng注册表,它会提示,点确定后自动修复。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins>   []
     <{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll>   []
     <{1182C1EB-375C-573D-1F5E-234552345211}><C:\winnt\system32\wldpri.dll>   []
     <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\admin\LOCALS~1\Temp\dat7.tmp>   []
     <{559AFD5B-159F-ACD8-954C-ACD545FA6585}><C:\winnt\system32\jzepri.dll>   []
     <{425AB2F3-234A-7469-2F43-E341713ABFA4}><C:\winnt\system32\wgdpri.dll>   []
     <{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys>   []
     <{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\winnt\system32\jhapri.dll>   []
     <{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\winnt\system32\dhbpri.dll>   []
     <{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\winnt\system32\qhbpri.dll>   []
     <{2562452F-FA36-BA4F-892A-FF5FBBAC5312}><C:\winnt\system32\mybpri.dll>   []
     <{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll>   []
     <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\winnt\system32\wdbpri.dll>   []
 
5、升级杀软,全盘扫,并修改QQ、Mail、网游等密码。。。
 

你可能感兴趣的:(职场,休闲,System16.ins,System16.jup,help.exe)