Xem mẫu
- Mức độ phá hoại: Trung bình
Drop ra file có tên : "[random characters]0.dll" vào thư mục
%SysDir%. Nguy cơ:
Ghi mã độc vào process : explorer.exe Làm giảm mức độ an ninh của hệ thống.
Tạo các event :ZXCVASDFFCOOLDSS_MON, Game_start để Hiện tượng:
chỉ 1 worm cùng loại chạy trên 1 máy.
Sửa registry.
Ăn cắp mật khẩu các game online: MappleStory...
Tắt các chương trình AntiVirus và các dịch vụ hệ thống của
Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "nt.com", Windows
ghi thêm file "autorun.inf" để virus lây lan
Không vào được một vài trang web bảo mật và antivirus.
Chuyên viên phân tích : Cao Minh Phương
Mất menu FoderOptions.
Cách thức lây nhiễm:
Bkav2004 - Phát hành lần thứ 2 ngày 17/11/2008, cập nhật
G4eY5F, SkypeN, BrontokSD, FakeExpI, Itdead, MsFoxR... Phát tán qua trang Web
Malware cập nhật mới nhất: Phát tán qua email : Với Subject là : "My Best Photo" Hoặc
"Fotoku yg Paling Cantik"
Tên malware: W32.BrontokSD.Worm Kèm theo nội dung :
"Hi,
Thuộc họ: W32.Brontok.Worm I want to share my photo with you.
Wishing you all the best.
Loại: Worm
Regards,"
Xuất xứ: Nước ngoài Hoặc : "Hi,
Aku lg iseng aja pengen kirim foto ke kamu.
Ngày phát hiện mẫu: 17/11/2008 Jangan lupain aku ya !
Thanks,"
Kích thước: 147 Kb
1
- Cách phòng tránh: Ghi giá trị:
Không nên vào các trang web cung cấp các phần mềm crack, "Bron-Spizaetus" vào key
hack, các trang web đen, độc hại HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để
chạy virus lúc hệ thống khởi động.
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các
file có đuôi .exe .com .pif và .bat "Tok-Cirrhatus-3444" vào key
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để
Mô tả kỹ thuật: chạy virus lúc hệ thống khởi động.
Tạo ra các bản sao của nó: Sửa file hosts ngăn không cho người dùng truy cập vào một vài
trang web bảo mật.
%Sysdir%\cmd-brontok.exe
Sửa key không cho người dùng sử dụng một vài tiện ích của
%Windir%\Shellnew\[RandomName]
windows và làm mất menu FolderOptions.
%Documents%\[UserName]\Local Settings\Application
Tắt các process và các cửa sổ có chứa 1 trong các xâu :
Data\csrss.exe
peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil,
%Documents%\[UserName]\Local Settings\Application wintask,
Data\lsass.exe folder option,worm, trojan, avira, windows script, commander, pc-
media, killer, ertanto,
%Documents%\[UserName]\Local Settings\Application anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend, cillin,
Data\br7911on.exe mcaf, avast, bitdef, machine, movzx, kill, washer, remove, wscript,
diary,
%Documents%\[UserName]\Local Settings\Application untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh, Anti,
Data\services.exe mspatch,
siti, virus, services.com, ctfmon, nopdb, opscan, vptray, update,
%Documents%\[UserName]\Local Settings\Application
lexplorer, iexplorer,
Data\winlogon.exe
nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray, riyani,
%Documents%\[UserName]\Local Settings\Application xpshare, syslove,
Data\inetinfo.exe tskmgr, ccapps, ash, avg, poproxy, mcv
2
- Tìm các địa chỉ mail trong máy, đồng thời gửi mail có đính kèm Sửa registry.
virus tới các địa chỉ vừa tìm được.
Dừng các chương trình diệt virus
Chuyên viên phân tích : Nguyễn Quốc Nhân
Làm chậm hệ thống.
Mất icon của các file .exe
Bkav2009 (20/11/2008) cập nhật lần thứ 1: LogoOneKA,
MegabyA... Cách thức lây nhiễm:
Malware cập nhật mới nhất: Phát tán qua trang web, phần mềm miễn phí.
Tên malware: W32.LogoOneKA.PE Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Thuộc họ: W32.LogoOne.PE Cách phòng tránh:
Loại: PE Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Xuất xứ: Trung Quốc
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các
Ngày phát hiện mẫu: 19/11/2008 file có đuôi .exe .com .pif và .bat
Kích thước: 61Kb Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên
đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mức độ phá hoại: Cao
Mô tả kỹ thuật:
Nguy cơ:
Ghi giá trị
Ăn cắp thông tin cá nhân. "load" = %WinDir%\uninstall\rundl132.exe
vào key
Lây file
HKLM\Software\Microsoft\Windows\CurrentVersion\Run để
Làm giảm mức độ bảo mật của hệ thống. chạy virus mỗi khi windows được khởi động
Hiện tượng:
3
- Kiểm tra đã tồn tại key • MSN Gaming Zone
[HKLM\SOFTWARE\Soft\DownloadWWW] • NetMeeting
với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây • Outlook Express
nhiễm chưa. • Recycled
• system
Copy chính nó vào • System Volume Information
%Windir%\ Logo1_.exe • system32
%Windir%\uninstall\rundl132.exe • windows
• Windows Media Player
Drop ra file: %WinDir%\RichDll.dll
• Windows NT
Ghi ngày lây nhiễm vào file C:\_desktop.ini • WindowsUpdate
• winnt
Lây file bằng cách ghi code virus vào trước file gốc.
Kill các services và chương trình diệt virus:
Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y. • "Kingsoft AntiVirus Service"
• EGHOST.EXE
Lây qua mạng nội bộ bằng cách copy và lây vào các file exe • IPARMOR.EXE
trong các thư mục shared • KAVPFW.EXE
• MAILMON.EXE
Không lây những file đường dẫn có chứa:
• mcshield.exe
• \Program Files • RavMon.exe
• Common Files
• RavMonClass
• ComPlus Applications
• Ravmond.EXE
• Documents and Settings
• regsvc.exe
• InstallShield Installation Information
• Internet Explorer Chuyên viên phân tích : Nguyễn Công Cường
• Messenger
• Microsoft Frontpage Một số malware đáng chú ý cập nhật cùng ngày:
• Microsoft Office W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit,
• Movie Maker W32.FialaKA.Worm, W32.MegabyA.Worm, W32.VtLightIA.PE,
• MSN W32.KxvoET.Worm, W32.WinbetTT.Trojan,
4
- W32.AlureonB.Trojan, W32.ArfuBot.Trojan, Cách thức lây nhiễm:
W32.CimusCD.Rootkit, W32.MSFoxCB.Worm...
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop, MixaFQ...
Cách phòng tránh:
Malware cập nhật mới nhất:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
Tên malware: W32.MixaFQ.Worm các trang web đen, độc hại
Thuộc họ: W32Mixa.Worm Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Loại: Worm Mô tả kỹ thuật:
Xuất xứ: Việt Nam Ghi giá trị
"Userinit " = %SysDir%\systemio.exe
Ngày phát hiện mẫu: 20/11/2008 vào key HKLM\...\CurrentVersion\Winlogon và Virus=%WinDir%\Mixa.exe
Kích thước: 3608Kb
Vào key HKLM\...\CurrentVersion\Run để virus được kích hoạt
Mức độ phá hoại: Trung bình mỗi khi Windows khởi động
Nguy cơ: Copy bản thân thành các file :
%SysDir%\systemio.exe
Làm giảm mức độ an ninh của hệ thống. %WinDir%\Mixa.exe
Hiện tượng: Liên tục check các process, nếu thấy process có chứa 1 trong các
xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng
Sửa registry. và LogOff máy tính.
Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file
TaskMgr, RegistryTool,... autorun.inf vào tất cả các ổ đĩa.
Không hiển thị được file ẩn và file hệ thống.
5
- Liên tục ghi key làm người dùng không hiện được các file ẩn và Nguy cơ:
file hệ thống.
Làm giảm mức độ an ninh của hệ thống.
Chuyên viên phân tích : Nguyễn Công Cường
Hiện tượng:
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ConthinA.Worm, W32.FialaKC.Worm, Sửa registry.
W32.HtmInfectB.Trojan, W32.Suchop.PE,
Không vào được chế độ safe mode của Windows.
W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm,
W32.OngameFS.Trojan, W32.RsnetJZ.Trojan, Xuất hiện popup các trang web tiếng Trung Quốc.
W32.Lin32.Trojan, W32.Sobicyt.Adware,
W32.Soxpeca.Adware, Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:
Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008, cập nhật Phát tán qua trang web.
DashferKA, VtLightKA, CkvoHGV, ResycleB, Cmhot...
Tự động lây nhiễm qua USB.
Malware cập nhật mới nhất:
Lây qua các file thực thi.
Tên malware: W32. DashferKA.PE
Cách phòng tránh:
Thuộc họ: W32.Dashfer.PE
Không nên vào các trang web cung cấp các phần mềm crack, hack,
Loại: PE các trang web đen, độc hại
Xuất xứ: Trung Quốc Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Ngày phát hiện mẫu: 21/11/2008 Mô tả kỹ thuật:
Kích thước: 165Kb Xóa các key :
HKLM\...\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-
Mức độ phá hoại: Cao BFC1-08002BE10318}
6
- HKLM\...\Control\SafeBoot\Network\{4D36E967-E325-11CE- Chuyên viên phân tích : Nguyễn Ngọc Dũng
BFC1-08002BE10318}
làm cho máy tính không khởi động được trong chế độ safemode.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Copy bản thân thành file có tên "lsass.exe" vào thư mục
%SysDir%\Com, và ~.exe vào thư mục Startup
để virus được thực thi khi khởi đông hệ thống.
Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.
Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
Sửa key làm mất checkbox để hiển thị các file hệ thống.
Copy bản thân thành file có tên : "pagefile.pif" kèm theo file
autorun.inf vào tất cả các ổ đĩa.
Tắt các process có chứa một trong các xâu sau : rav, avp,
twister, kv, watch, kissvc, scan, guard.
Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm
thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar)
đoạn script :
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ
thống.
7
nguon tai.lieu . vn