Xem mẫu
- Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại.
Mô tả kỹ thuật:
Ghi giá trị
“Task Manager”=”C:\WINDOWS\taskmng.exe”
Vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
để virus được kích hoạt mỗi khi Windows khởi động
Ghi các giá trị
"DisableTaskMgr"
"DisableRegistryTools"
Vào key
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System để ngăn
không cho người dùng sử dụng TaskManager và Registry Editor
Copy bản thân thành các files : %WinDir%\taskmng.exe
Ghi key đổi title của IE thành : " (¯`v´¯) Welcome http://v[removed]n.vn".
Đặt lại StartPage của IE thành : http://quy[removed]utu.com/111zzz
Download file từ đường link : http://quy[removed]tu.com/111zzz/software.exe
Gửi các thông điệp có kèm theo link độc đến các nick chat trong sổ địa chỉ
Yahoo Messenger của máy bị nhiễm để phát tán.
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AVKillerZRC.Worm,
W32.AcLuDLMonB.Rootkit, W32.AVFilter.Rootkit, W32.CinmusBX.Rootkit,
W32.EggIRCBot.Trojan, W32.AutoVbsK.Worm, W32.ConhookHA.Trojan,
W32.CPushSA.Adware, W32.DowlodTD.Trojan, W32.DownloaderZQ.Worm,
W32.PMonPZ.Worm...
Bkav1809 (07/08/2008) cập nhật lần thứ 1: Deathy, SecretBD...
Malware cập nhật mới nhất:
- Tên malware: W32.FakeAntivirusXPD.Spyware
Thuộc họ: W32.FakeAntivirus
Loại: Spyware
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 06/08/2008
Kích thước: 111 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Lấy cắp và gửi thông tin cá nhân ra bên ngoài.
Hiện tượng:
Sửa registry.
Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và
yêu cầu đăng kí sử dụng, cập nhật
Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning!
Spyware detected on your computer. Install an antivirus or spyware remover
to clean your computer!"
Máy tính bị chậm đi
Xuất hiện screensaver có dạng màn hình dump chuẩn của windows khi máy
để khoảng 10 phút mà không sử dụng
Cách thức lây nhiễm:
Do malware khác download về
Cách phòng tránh:
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi
.exe .com .pif và .bat.
- Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger.
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password
truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Mô tả kỹ thuật:
Download file có dung lượng >9 Mb để làm chương trình diệt virus giả
Download file screensaver có dạng màn hình dump chuẩn vào thư mục
%system%
Ghi key để virus được load lên khi khởi động:
+ HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"lphc9dkj0ec6a"="%SYSDIR%/lphc9dkj0ec6a.exe"
"SMrhccdkj0ec6a"="%SYSDIR%/rhcahej0ej6v.exe"
Ghi các key để thay đổi màn hình nền desktop và thiết đặt screensaver
+"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System"
"NoDispBackgroundPage"=1
"NoDispScrSavPage"=1
+"HKCU\\Control Panel\\Colors"
"ackground"
"WallpaperStyle"
"TileWallpaper"
"SCRNSAVE.EXE"
"OriginalWallpaper"
"ConvertedWallpaper"
"OriginalWallpaper"
"Wallpaper"
Chuyên viên phân tích : Phan Đình Phúc
Một số malware đáng chú ý cập nhật cùng ngày: W32.FialaFA.Worm,
W32.SecretAS.Worm, W32.AgentAF.Worm, W32.CPushZ.Worm,
W32.DownloadHY.Worm, W32.IRCBotHA.Worm, W32.KavvoA.Worm,
W32.PoeBote.Worm, W32.PMonTP.Worm, W32.AntiAVM.Worm,
W32.KeyloggerB.Worm, W32.MSDomC.Worm...
- Phát hành lần thứ 2 ngày 13/08/2008, cập nhật Ckiechi, QQhxA, Collet,
Potube, SillyBotA, AutorunSys, SecretMC...
Malware cập nhật mới nhất:
Tên malware: W32.SillyBotA.Worm
Thuộc họ: W32.SillyBot.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 13/08/2008
Kích thước: 492 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Cài thêm virus/spyware vào hệ thống.
Lấy cắp thông tin cá nhân
Hiện tượng:
Không chạy được Bkav và các chương trình an ninh hệ thống.
Cách thức lây nhiễm:
Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
Lây nhiễm qua các virus khác download về máy
Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
Không nên mở các file đính kèm có phần mở rông exe, com, pif
- Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ
đĩa.
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Mô tả kỹ thuật:
Ghi giá trị:
“Shell”=”explorer.exe SVCH0ST.exe ”vào key HKLM\..\Winlogon
Tạo ra các files:
%systemroot%\system32\WINLOG0N.exe
%systemroot%\system32\SVCH0ST.exe (bản sao của virus)
Kiểm tra phiên bản mới của virus qua link:
http://74.220.207.173/~tqpqn[removed]/Server.ini
Download phiên bản mới của virus qua link:
http://74.220.207.173/~tqpqn[removed]/Update.exe
Copy bản thân vào các ổ USB. Tạo file autorun.inf để tự chạy virus mỗi khi
mở các ổ đĩa này.
Tắt các chương trình:
Bkav
Process Explorer
FireLion
Kết nối đến IRC Server irc.vhcgroup.net để nhận lệnh. Các lệnh có thể có
ConnectAgain
Ready?
msdos
Msg
- Info
listproc
download
Chuyên viên phân tích : Cao Minh Phương
Phát hành lần thứ 2 ngày 13/09/2008, cập nhật AgentAT, FakecodecD,
FialaAP, KavoJCA, MixaJB, WhBoyJE...
Malware cập nhật mới nhất:
Tên malware: W32.FialaAP.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 13/09/2008
Kích thước: 14Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Bị ăn cắp mật khẩu tài khoản Game Online.
Bị Hacker chiếm quyền điều khiển từ xa.
Hiện tượng:
Sửa registry.
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của
Windows và một vài chương trình khác.
Không hiện được các file có thuộc tính ẩn.
- Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử
dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư
mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất
cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell" trong
key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows khởi động.
Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,
360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,
IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe,
TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
- ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus,
Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.
nguon tai.lieu . vn