Xem mẫu
- KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, o Keylogger (ăn cắp mật khẩu Games Online)
KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, o Adware (popup các trang web quảng cáo, sửa
Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, StartPage của IE), ...
Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, Chuyên viên phân tích : Nguyễn Công Cường
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE,
RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe,
UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe,
VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, Bkav2075 - Phát hành lần thứ 2 ngày 27/12/2008, cập nhật
KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE,
Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, FakeAlertNT, WormDC, FakeIeY, FialaZL, Windir...
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe Malware cập nhật mới nhất:
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Tên malware: W32.FakeAlertNT.Adware
Symantec AntiVirus, Symantec AntiVirus Definition Thuộc họ:W32.FakeAlert.Adware
Watcher Loại: Adware
McAfee Framework, Norton AntiVirus Server Xuất xứ: Nước ngoài
Xóa key không cho người dùng khởi động vào chế độ Safe Ngày phát hiện mẫu: 16/12/2008
mode Kích thước: 204 Kb
Ghi key không cho người dùng hiển thị các file có thuộc Mức độ phá hoại: Trung bình
tính ẩn và hệ thống. Nguy cơ:
Tự động update bản thân từ link : Làm giảm mức độ an ninh của hệ thống.
http://xni[removed]i.com/mm.exe Mất các thông tin cá nhân.
Download malware từ các link : Hiện tượng:
http://xni[removed]i.com/1.exe Wallpaper được thay bằng một cảnh báo virus (giả) và
................................................... không thể thay đổi được
http://xni[removed]i.com/10.exe Xuất hiện các cảnh báo virus (giả) liên tục.
Các malware này bao gồm: Yêu cầu người sử dụng đăng ký để có thể sử dụng chương
o Trojan giả mạo gateway để phát tán virus qua link trình diệt virus (giả).
độc (http://w.xnibi.co[removed]/index.gif, ...) Cách thức lây nhiễm:
o Downloader (tải về rất nhiều malware khác) Phát tán qua trang web lừa đảo.
1
- Cách phòng tránh: Malware cập nhật mới nhất:
Không nên vào các trang web cung cấp các phần mềm Tên malware: W32.AmvoDJKA.Worm
crack, hack, các trang web đen, độc hại. Thuộc họ: W32.Amvo.Worm
Không nên vào các trang rao bán chương trình diệt virus Loại: Worm
mà không rõ nguồn gốc Xuất xứ: Trung Quốc
Mô tả kỹ thuật: Ngày phát hiện mẫu: 30/12/2008
Tạo bản sao của chính nó vào thư mục %SysDir% Kích thước:108Kb
Tạo ra file có tên ngẫu nhiên, ví dụ Mức độ phá hoại: Cao
%SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper, Nguy cơ:
hiển thị cảnh báo virus (giả) Ăn cắp thông tin cá nhân.
Sửa giá trị của các khóa "Wallpaper", Làm giảm mức độ an ninh của hệ thống.
"OriginalWallpaper" và "ConvertedWallpaper" Hiện tượng:
trong khóa "HKCU\Control Panel\Desktop" thành Thay đổi registry.
"%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper Cách thức lây nhiễm:
của Windows. Tự động lây nhiễm vào USB.
Ghi các giá trị "lphcns0j0e1av" = Phát tán qua các trang web độc hại.
"%SysDir%\lphcns0j0e1av.exe" vào khóa Cách phòng tránh:
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio Không nên mở các ổ USB mới chưa được quét virus bằng
n\Run" để virus có thể khởi động cùng Windows cách nháy kép vào ổ đĩa.
Thả ra tập tin screen saver có hình dạng màn hình xanh Không nên vào các trang web cung cấp các phần mềm
chết chóc để đánh lừa cảm giác của người sử dụng crack, hack, các trang web đen, độc hại.
Sử dụng website www.anti-[remove]2008.net làm Mô tả kỹ thuật:
homepage giả mạo. Copy chính nó thành các file sau:
Chuyên viên phân tích : Lê Quang Hà o %Sysdir%\\amvo.exe
Tạo các file sau:
o %Userdir%\Local Settings\Temp\9sky8pia.dll
o %Userdir%\Local Settings\Temp\4.sys
Phát hành lần thứ 2 ngày 31/12/2008, cập nhật
o %Userdir%\Local Settings\Temp\help.exe
HanGu, FakeAntiDXBA, BootBNT, AmvoDJKA, TavoDJAE... o %Sysdir%\amvo0.dll
Ghi key sau để tự động kích hoạt virus khi khởi động máy
tính:
2
- o HKCU\...\Windows\CurrentVersion\Run\amva Mô tả kỹ thuật:
Tìm các ổ đĩa cứng, usb và copy chính nó thành file Copy bản thân thành file có tên msvcrt.bak vào thư mục
qwc.exe, ghi thêm file autorun.inf để virus lây lan. cài đặt Internet Explorer
Chuyên viên phân tích: Nguyễn Công Cường Tạo ra các file:
o msvcrt.dll trong thư mục cài đặt Internet Explorer
o Relive.dll trong thư mục %CommonFiles%
Ghi giá trị:
Bkav2085 - Phát hành lần thứ 1 ngày 05/01/2009, cập nhật
o {0FAD2E16-C8EF-5AC1-1E6A-
DriveNT, KxvoQNT, SecretHK, AutorunNT, RecylerA... AE3FD8EF56B3}="" vào key:
HKLM\...\CurrentVersion\Explorer\ShellExecuteHo
Malware cập nhật mới nhất: oks
Tên malware: W32.AutorunNT.Worm o (Default)= "C:\Program Files\Internet
Thuộc họ: W32.Autorun.Worm Explorer\msvcrt.dll" vào key:
Loại: Worm HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-
Xuất xứ: Nước ngoài AE3FD8EF56B3}\InProcServer32 Ngày phát hiện mẫu: 03/01/2009 Tạo key:
Kích thước: 696Kb HKLM\...\Browser Helper Objects\{D3626E66-B13B-
Mức độ phá hoại: Trung bình C628-ACDF-BDABCFA265E1}
Nguy cơ: và ghi giá trị (Default)="%CommonFiles%\Relive.dll" vào
Làm giảm mức độ an ninh của hệ thống. key:
Hiện tượng: HKCR\CLSID\{D3626E66-B13B-C628-ACDF-
Sửa registry. BDABCFA265E1}\InProcServer32Cách thức lây nhiễm: Virus tìm cách xóa các giá trị sau:
Phát tán qua trang web. o {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
Tự động lây nhiễm vào USB. o {131AB311-16F1-F13B-1E43-11A24B51AFD1}
Cách phòng tránh: o {274B93C2-A6DF-485F-8576-AB0653134A76}
Không nên vào các trang web cung cấp các phần mềm o {1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
crack, hack, các trang web đen, độc hại o ...
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng trong key HKLM\...\Explorer\ShellExecuteHooks
ổ đĩa. Virus tìm cách xóa các file sau: smss.exe, csrss.exe,
conime.exe, ctfmon.exe, stpgldk.exe, wdso.exe,
3
- ztso.exe, tlso.exe, rxso.exe, srogm.exe... trong thư mục Phát tán qua trang web, phần mềm miễn phí.
%Temp% Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Copy bản thân thành file Ghost.pif và tạo file autorun.inf Cách phòng tránh:
trong các ổ đĩa USB để virus lây lan. Không nên vào các trang web cung cấp các phần mềm
Chuyên viên phân tích : Lê Anh Vũ Hà crack, hack, các trang web đen, độc hại
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt
là các file có đuôi .exe .com .pif và .bat
Không nên share full các ổ đĩa, thư mục trong mạng nội
bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa
Bkav2089 - Phát hành lần thứ 2 ngày 08/01/2009, cập nhật và tạo file.
Mô tả kỹ thuật:
HirdcYX, MsdsYX, FialaUA, LogoOneJA, VundoBI... Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe
Malware cập nhật mới nhất: vào key
Tên malware: W32.LogoOneJA.PE HKLM\Software\Microsoft\Windows\CurrentVersion\Ru
Thuộc họ: W32.LogoOne.PE n để chạy virus mỗi khi windows được khởi động
Loại: PE Virus Kiểm tra đã tồn tại key
Xuất xứ: Trung Quốc [HKLM\SOFTWARE\Soft\DownloadWWW]
Ngày phát hiện mẫu: 07/01/2009 với giá trị "auto" = "1" làm dấu hiệu xác định xem virus
Kích thước: 61Kb lây nhiễm chưa.
Mức độ phá hoại: Cao Copy chính nó vào
Nguy cơ: %Windir%\ Logo1_.exe
Ăn cắp thông tin cá nhân. %Windir%\uninstall\rundl132.exe
Lây file Drop ra file: %WinDir%\RichDll.dll
Làm giảm mức độ bảo mật của hệ thống. Ghi ngày lây nhiễm vào file C:\_desktop.ini
Hiện tượng: Lây file bằng cách ghi code virus vào trước file gốc.
Sửa registry. Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.
Dừng các chương trình diệt virus Lây qua mạng nội bộ bằng cách copy và lây vào các file
Làm chậm hệ thống. exe trong các thư mục shared
Mất icon của các file .exe Không lây những file đường dẫn có chứa:
Cách thức lây nhiễm: • \Program Files 4
- • Common Files • Ravmond.EXE
• ComPlus Applications • regsvc.exe
• Documents and Settings Chuyên viên phân tích : Nguyễn Công Cường
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
5
nguon tai.lieu . vn