Xem mẫu
- worm vào Resource của file tìm được, làm các file thực thi đã pack
đều không chạy được.
Chuyên viên phân tích : Nguyễn Công Cường
13. Phát hành lần thứ 2 ngày 31/05/2008, cập nhật Indiane, MsiupA, KavoADX,
CinmusEA, CPushD, FarfliBB, GamesOnDllA...
Malware cập nhật mới nhất:
Tên malware: W32.Indiane.Worm
Thuộc họ: W32.Indiane.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 31/05/2008
Kích thước: 327Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Hiển thị 1 bức ảnh bông hồng khi vào ie
Hiện 1 hộp thông báo chứa nội dung bài hát ấn độ khi đăng nhập vào
windows.
Không sử dụng được một vài chương trình và tiện ích của windows :
notepad, regedit, msconfig, taskmgr, ...
Mất các menu : Run, Search, ...
Không hiện được các file ẩn, file hệ thống.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
- Ghi giá trị
“WinUp”, "RsWin"
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Sửa các key : "Shell", "Userinit" để virus được kích hoạt mỗi khi Windows
khởi động
Xóa key không cho người dùng hiện các file ẩn và file hệ thống.
Ghi key debugger để chạy file virus thay vì chạy các file :
Regedit.exe, Msconfig.exe, taskmgr.exe, ntvdm.exe, rstrui.exe
Ghi key hiện hộp thoại chứa bài hát "Kata Mutiara" mỗi khi đăng
nhập vào windows.
Copy bản thân thành các file vào thư mục hệ thống, ghi đè lên file
Winrar.exe.
Copy bản thân kèm theo file Autorun.inf vào tất cả các ổ đĩa.
Tìm các thư mục ở ổ đĩa gốc, tạo file exe trùng tên thư mục rồi ẩn
chính thư mục đó.
Tắt các process : cmd.exe, command.com, command.exe, ntvdm.exe,
msconfig.exe, procexp.exe, HijackThis.exe
rstrui.exe, notepad.exe, regedit.exe, taskmgr.exe, killbox.exe,
SysMech6.exe, IoloSGCtrl.exe, SystemGuardAlerter.exe
Xóa tất cả các file trong thư mục :
progra~1\antivi~1\*.*
progra~1\ESET\*.*
pccill~1\*.*
iolo\*.*
norton~1\*.*
norton~2\*.*
msav\*.*
norman\*.*
pav\*.*
mcafee.com\VSO\*.*
mcafee~1\*.*
mcafee.com\agent\*.*
mcafee.com\*.*
kasper~2\*.*
mcafee\*.*
antivi~1\*.*
antivi~2\*.*
antiviru\*.*
avg\*.*
kasper~1\*.*
- progra~1\antivi~2\*.*
progra~1\avg\*.*
progra~1\kasper~1\*.*
progra~1\kasper~2\*.*
progra~1\mcafee\*.*
progra~1\McAfee.com\agent\*.*
progra~1\McAfee.com\\*.*
progra~1\McAfee.com\VSO\*.*
progra~1\mcafee~1\*.*
progra~1\mindso~1\*.*
progra~1\norman\*.*
progra~1\norton~1\*.*
progra~1\norton~2\*.*
progra~1\pandas~1\*.*
Progra~1\Alwils~1\*.*
progra~1\iolo\*.*
pc-cil~1\*.*
progra~1\mcafee.com\agent\*.*
progra~1\mcafee.com\*.*
progra~1\mcafee.com\VSO\*.*
Chuyên viên phân tích : Nguyễn Công Cường
14. Bkav 1705 - Phát hành lần thứ 1 ngày 11/06/2008, cập nhật XorerR, Brute,
AmvoYE, MmvoXA, DashfarC, DashferAE, FialaM, HacktoolO...
Malware cập nhật mới nhất:
Tên malware: W32.FialaM.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 10/06/2008
Kích thước: 27Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Bị ăn cắp mật khẩu tài khoản Game Online.
Bị Hacker chiếm quyền điều khiển từ xa.
- Hiện tượng:
Sửa registry.
Không sử dụng được một số chương trình Antivirus, một vài tiện ích
của Windows và một vài chương trình khác.
Không hiện được các file có thuộc tính ẩn.
Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và
không sử dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào
thư mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf
vào tất cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell"
trong key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows
khởi động.
Ghi key debugger để chạy file của virus thay vì chạy các file :
360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE,
CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp,
KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE,
KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE,
Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE,
VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE,
RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe,
UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe,
VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp,
kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE,
- RAVMON.EXE, RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec
AntiVirus, Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ
thống.
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
...................................................
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, ...)
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE), ...
Chuyên viên phân tích : Nguyễn Công Cường
15. Bkav1777 - Phát hành lần thứ 2 ngày 19/07/2008, cập nhật LogoOneAH,
OnLGamesTD, AmvoBW, KavoACR, KxvoAR, KxvoARDll...
Malware cập nhật mới nhất:
nguon tai.lieu . vn