Xem mẫu
- Không hiện được các file có thuộc tính ẩn.
Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử
dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư
mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất
cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell" trong
key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows khởi động.
Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,
360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,
IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
- Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe,
TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus,
Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
...................................................
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, ...)
Downloader (tải về rất nhiều malware khác)
Keylogger (ăn cắp mật khẩu Games Online)
Adware (popup các trang web quảng cáo, sửa StartPage của IE), ...
Chuyên viên phân tích : Nguyễn Công Cường
Bkav1777 - Phát hành lần thứ 2 ngày 19/07/2008, cập nhật LogoOneAH,
OnLGamesTD, AmvoBW, KavoACR, KxvoAR, KxvoARDll...
Malware cập nhật mới nhất:
Tên malware: W32.LogoOneAH.PE
- Thuộc họ: W32.LogoOne.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 19/07/2008
Kích thước: 61Kb
Mức độ phá hoại: Cao
Nguy cơ:
Ăn cắp thông tin cá nhân.
Lây file
Làm giảm mức độ bảo mật của hệ thống.
Hiện tượng:
Sửa registry.
Dừng các chương trình diệt virus
Làm chậm hệ thống.
Mất icon của các file .exe
Cách thức lây nhiễm:
Phát tán qua trang web, phần mềm miễn phí.
Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi
.exe .com .pif và .bat
- Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password
truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe
vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run để chạy
virus mỗi khi windows được khởi động
Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.
Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
Drop ra file: %WinDir%\RichDll.dll
Ghi ngày lây nhiễm vào file C:\_desktop.ini
Lây file bằng cách ghi code virus vào trước file gốc.
Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.
Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục
shared
Không lây những file đường dẫn có chứa:
• \Program Files• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
- • NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường
Phát hành lần thứ 2 ngày 23/07/2008, cập nhật ZlobSetL, MutantI, ProxyG,
SecretMA, ZhelatinRB, DowlodTB...
Malware cập nhật mới nhất:
Tên malware: W32.SecretMA.Worm
Thuộc họ: W32.Secret.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 23/07/2008
- Kích thước: 109Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Sửa giá trị
“Userinit” và "Shell"
của key HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi
động
Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và
"Userinit.exe" vào thư mục %WinDir%
Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào
ổ USB để phát tán.
Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :
%WinDir%\kdcoms.dll
Chuyên viên phân tích : Nguyễn Công Cường
- Bkav1788 (23/07/2008) cập nhật lần thứ 1: YMxman, AutoVbsK...
Malware cập nhật mới nhất:
Tên malware: W32.YMxman.Worm
Thuộc họ: W32.YMxman.Worm
Loại: Worm
Xuất xứ : Việt Nam.
Ngày phát hiện mẫu: 23/07/2008
Kích thước: 202 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Làm chậm máy tính.
Gây khó chịu khi sử dụng Yahoo Messenger.
Hacker có thể chiếm quyền điều khiển các máy tính bị nhiễm virus.
Hiện tượng:
Registry bị thay đổi.
Title của IE bị đổi thành : " (¯`v´¯) Welcome http://v[removed]n.vn"
Tự động vào trang http://quy[removed]utu.com/111zzz mỗi khi bật IE.
Gửi các thông điệp qua cửa sổ Yahoo messenger:
" Phim pha trinh ne http://qu[removed]utu.com/parishillton/"
" SEX MOVIE HOT http://qu[removed]tu.com/parishillton/"
" Phim sex Ho Ngoc Ha ne http://qu[removed]utu.com/parishillton/"
" Phim pha trinh ne http://qu[removed]utu.com/parishillton/"
- " Hoc sinh dong phim sex ne http://qu[removed]utu.com/parishillton/"
" Phim cuong hiep ne http://qu[removed]utu.com/parishillton/"
" Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/"
" Phim sex Phuong Thanh ne http://qu[removed]utu.com/parishillton/"
" Hoa hau dong phim sex ne http://qu[removed]utu.com/parishillton/"
" Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/"
Cách thức lây nhiễm:
Phát tán qua các công cụ chat Yahoo Messenger.
Cách phòng tránh:
Không nên mở các liên kết lạ nhận được qua Yahoo Messenger.
nguon tai.lieu . vn