文件名称:msepbe.dll
文件大小:3450 字节
AV命名:Trojan-PSW.Win32.OnLineGames.yzt(卡巴斯基)
加壳方式:Upack
编写语言:Delphi
文件MD5:784b752c55b1cd17be2291e43bd7a38d
病毒类型:盗号木马
行为分析:
1、释放文件:
C:\WINDOWS\system32\msepbe.dll 3450 字节
2、添加到注册表启动:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Registry value: AppInit_DLLs New value: Type: REG_EXPAND_SZ
3、注入每个运行中的进程,并安装全局钩子
4、监控鼠标、键盘操作,可能作为盗号用。
5、每隔一段时间写入AppInit_DLLs启动项,填充垃圾数据:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Registry value: AppInit_DLLs New value: Type: REG_EXPAND_SZ Value: wfhyt.dll,kghk.dll,ethsh.dll,stehs.dll,sthth.dll,frntrn.dll,qrhhb.dll,drghszd.dll, fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll, serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll, dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll, mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll, zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg
6、最后会调用CMD,删除原载体
解决方法:
1、下载SREng(可到down.45it.com下载),在注册表启动那项,把AppInit_DLLs“编辑”(如下图)。
注意一定不要删除,编辑为空,然后确定。
最好是在安全模式下进行
2、重启计算机后,删除文件:
C:\WINDOWS\system32\msepbe.dll
如果有看到:rhs.cfg和rhs.dll,也一并删除。 |