Xem mẫu
- o Nod32kui.EXE
o Regedit.EXE
o VPC32.exe
o VPTRAY.exe
o WOPTILITIES.EXE
o Wuauclt.EXE
Kết nối đến trang http://2.troj[Removed]8.com/dd để cập nhật danh
sách và download các virus khác về máy
Tạo các mutex để chỉ chạy một bản sao của virus:
o __B_ZX
o __B_MH
o __B_DH
o 52D77ECE7B32424dB93B9A6EFBDDB0DF
Chuyên viên phân tích : Cao Minh Phương
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm,
W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm,
W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan...
7. Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX...
Malware cập nhật mới nhất:
Tên malware: W32.FlashyC.Worm
Thuộc họ: W32.Flashy.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 11/04/2008
Kích thước: 36Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
- Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của
windows : RegistryTool, TaskMgr, ...
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Mô tả kỹ thuật:
Ghi giá trị
“Flashy Bot”=”%SysDir%\Flashy.exe”
Vào key HKLM\...\Windows\CurrentVersion\Run để virus được kích hoạt
mỗi khi Windows khởi động
Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir%
và %StartUp%
Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư
mục tìm được.
Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy.
Tắt service : SharedAccess, bật service : Telnet
Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa :
d,e,f,g,h,i,j nếu tồn tại các ổ đĩa này.
Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử
dụng một vài tiện ích của windows : RegistryTool, TaskMgr, ...
Đổi mật khẩu của acc administrator thành hacked
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VbsMulu.Worm,
W32.AmvaX.Worm, W32.AmvaXDll1.Worm, W32.AmvaXDll2.Worm,
W32.KavoXZ.Worm, W32.KavoXZDll1.Worm...
8. Bkav1602 (12/04/2008) cập nhật lần thứ 1: SecretL, RBotH...
Malware cập nhật mới nhất:
Tên malware: W32.SecretL.Worm
- Thuộc họ: W32.Secret.Worm
Loại: Worm
Ngày phát hiện mẫu: 11/04/2008
Kích thước: 109Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Sửa giá trị
“Userinit” và "Shell"
của key HKLM\...\Windows NT\CurrentVersion\Winlogon để virus được
kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir%
và "Userinit.exe" vào thư mục %WinDir%
Copy bản thân thành file có tên "Secret.exe" kèm theo file
"Autorun.inf" vào ổ USB để phát tán.
Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :
%WinDir%\kdcoms.dll
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.DownloaderIA.Trojan, W32.VundoZA.Trojan, W32.VundoZB.Trojan,
W32.AmvoGA.Worm, W32.AmvoGB.Worm, W32.ErrCleanBA.Adware,
W32.Ekmogen.Worm, W32.Lotus.Worm, W32.LotusB.Worm,
W32.Pigeon.Adware, W32.ZhiDaoG.Worm...
- 9. Bkav1605 - Phát hành lần thứ 2 ngày 14/04/2008, cập nhật FraudToolC,
XpUpdaterD, CinmusAP, Glock, HBKer, RankyH, SdBotAB...
Malware cập nhật mới nhất:
Tên malware: W32.BraviaQ.Trojan
Thuộc họ: W32.Bravia.Trojan
Loại:Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 14/04/2008
Kích thước: 16.5 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Ngăn cản người dùng không chạy được các chương trình diệt virus
như: Norton Antivirus, Nod32,... và các chương trình firewall.
Tự động download virus về máy người sử dụng.
Hiện thông báo giả đánh lừa người sử dụng:
o Your computer is infected!
o Windows has detected spyware infection!
o It is recomended to use special antispyware tools to pervent data loss.
o Windows will now download and install the most up-to-date
antispyware for you.
o Click here to protect your computer from spyware!
Cách thức lây nhiễm:
Phát tán qua các trang web.
Do virus khác download về
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại.
Mô tả kỹ thuật:
Tạo mutex {43278....4632} kiểm tra chỉ có một phiên bản của virus
chạy trên máy
Ghi file: %system%\univrs32.dat ( được phát hiện là virus BraviaD )
Ghi các key làm giảm mức độ anh ninh của hệ thống:
- o HKLM\...\Microsoft\Security Center và HKCU\...\Microsoft\Security
Center với các giá trị
AntiVirusDisableNotify = 0x01
FirewallDisableNotify = 0x01
UpdatesDisableNotify = 0x01
AntiVirusDisableNotify = 0x01
FirewallDisableNotify =0x01
o HKCU\...\Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = 0x00
HKCU\...\WindowsFirewall\StandardProfile
EnableFirewall = 0x00
o HKLM\...\CurrentVersion\Internet Settings\Zones\X name= "Y"
data="IP address" ;
trong đó : X=0;1;2;3;4 và Y=1200;1201;1208;1608;1804;2500;
để thiết lập chế độ local ip cho một số IP qua đó làm giảm mức độ kiểm soát
an ninh với các IP này
Hiện thông báo giả: "Your computer is infected!"
Đóng các process của các chương trình phát hiện virus, rootkit và
spyware: kmd.exe, winavxx.exe, bolenjx.exe, bolenja.exe,
rootkit_detektive.exe, autoruns.exe, vundofix.exe, trjscan.exe, tpsrv.exe,
thguard.exe, symwsc.exe, superantispyware.exe, spyblock.dll, spbbcsvc.exe,
sndsrvc.exe, sndmon.exe, sdtrayapp.exe, sbserv.exe, pskmssvc.exe,
psimsvc.exe, pshost.exe, psctrls.exe, pifsvc.exe, pavsrv51.exe, pavprsrv.exe,
lucoms~1.exe, lsetup.exe, ccsvchst.exe, ccproxy.exe, avengine.exe,
avciman.exe, ashwebsv.exe, ashserv.exe, ashmaisv.exe, apvxdwin.exe,
appsvc32.exe, aluschedulersvc.exe, gmer.exe, killbox.exe, avgupsvc.exe,
avgamsvr.exe, avgw.exe, avgcc.exe, msmpeng.exe, printer.exe,
svcntaux.exe, swdsvc.exe, avgas.exe, symlcsvc.exe, fwservice.exe,
prevxcsi.exe, navilog, navapsvc.exe, globkill.exe, dss.exe, procmast.exe,
combo.exe, defwatch.exe, ccsetmgr.exe, ccpwdsvc.exe, sdfix.exe,
zcomservice.exe, zcodec.exe, zclient.exe, pywaredetector.exe, spybotsd.exe,
spybot.exe, savscan.exe, sandboxieserver.exe, rtvscan.exe, pboptions.exe
Ẩn file với tên bravia.exe, csrss.exe,...
Chuyên viên phân tích : Phan Đình Phúc
10. Bkav 1610 - Phát hành lần thứ 2 ngày 17/04/2008, cập nhật BlockReB,
HackerOnlineT, AgentProx, PakesD, QhostA, StartPageH, BlockReA...
- Malware cập nhật mới nhất:
nguon tai.lieu . vn