Xem mẫu
- Download file có dung lượng >9 Mb để làm chương trình diệt virus giả
Download file screensaver có dạng màn hình dump chuẩn vào thư mục
%system%
Ghi key để virus được load lên khi khởi động:
+ HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"lphc9dkj0ec6a"="%SYSDIR%/lphc9dkj0ec6a.exe"
"SMrhccdkj0ec6a"="%SYSDIR%/rhcahej0ej6v.exe"
Ghi các key để thay đổi màn hình nền desktop và thiết đặt screensaver
+"HKCU\...\CurrentVersion\Policies\System"
"NoDispBackgroundPage"=1
"NoDispScrSavPage"=1
+"HKEY_CURRENT_USER\\Control Panel\\Colors"
"ackground"
"WallpaperStyle"
"TileWallpaper"
"SCRNSAVE.EXE"
"OriginalWallpaper"
"ConvertedWallpaper"
"OriginalWallpaper"
"Wallpaper"
Chuyên viên phân tích : Phan Đình Phúc
Một số malware đáng chú ý cập nhật cùng ngày: W32.KxvoTLD.Worm,
W32.KxvoTT.Worm, W32.TrojanLoaderTA.Trojan,
W32.CinmusYR.Rootkit, W32.VundoIA.Trojan, W32.CtfMonP.Worm,
W32.FialaPI.Worm, W32.AmvoSSC.Worm, W32.KavoSSA.Worm,
W32.RsnetC.Worm...
Phát hành lần thứ 2 ngày 24/10/2008, cập nhật AgentBE, SrizbJ, UserinitFakeB,
TmpGex, VundoBCN, YuriC...
Malware cập nhật mới nhất:
Tên malware: W32.UserinitFakeB.Trojan
Thuộc họ: W32.UserinitFake.Trojan
- Loại: Trojan
Ngày phát hiện mẫu: 24/10/2008
Kích thước: 8Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Cách thức lây nhiễm:
Phát tán qua trang web.
Do trojan khác download về.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Mô tả kỹ thuật:
Ghi đè virus lên file userinit.exe của Windows để virus được kích hoạt mỗi khi
Win khởi động
Tạo mutex : MICK_DOWNLOAD_MUTEX để chỉ 1 trojan cùng loại chạy
trên 1 máy.
Download dk.txt từ đường link : http://www.d[removed]tdt.net/dk.txt
File này chứa rất nhiều link download các trojan khác :
http://png1.gacxz.net/soft0.exe
http://png1.gacxz.net/soft1.exe
...................................
http://png1.gacxz.net/soft33.exe
Chuyên viên phân tích : Ngô Quốc Hoàn
- Bkav 1986 - Phát hành lần thứ 2 ngày 28/10/2008, cập nhật SecretQG, BtorrenM,
StupAntiSE, FialaPN, ServiceDwn, Kavo2F...
Malware cập nhật mới nhất:
Tên malware: W32.FialaPN.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 28/10/2008
Kích thước: 15Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Bị ăn cắp mật khẩu tài khoản Game Online.
Bị Hacker chiếm quyền điều khiển từ xa.
Hiện tượng:
Sửa registry.
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của
Windows và một vài chương trình khác.
Không hiện được các file có thuộc tính ẩn.
Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử
dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
- Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư
mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất
cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell" trong
key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows khởi động.
Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,
360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,
IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe,
TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
- Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus,
Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
...................................................
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, ...)
Downloader (tải về rất nhiều malware khác)
Keylogger (ăn cắp mật khẩu Games Online)
Adware (popup các trang web quảng cáo, sửa StartPage của IE), ...
Chuyên viên phân tích : Nguyễn Công Cường
Bkav1974 - Phát hành lần thứ 2 ngày 31/10/2008, cập nhật GoldunE, CimussHB,
FialaHG, IRCBotHB, KvosoftCR, SecretJR...
Malware cập nhật mới nhất:
Tên malware: W32.FialaHG.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 31/10/2008
- Kích thước: 15Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Bị ăn cắp mật khẩu tài khoản Game Online.
Bị Hacker chiếm quyền điều khiển từ xa.
Hiện tượng:
Sửa registry.
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của
Windows và một vài chương trình khác.
Không hiện được các file có thuộc tính ẩn.
Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử
dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
- Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư
mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất
cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell" trong
key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows khởi động.
Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,
360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,
IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe,
TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus,
Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
...................................................
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
- Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, ...)
Downloader (tải về rất nhiều malware khác)
Keylogger (ăn cắp mật khẩu Games Online)
Adware (popup các trang web quảng cáo, sửa StartPage của IE), ...
Chuyên viên phân tích : Nguyễn Công Cường
nguon tai.lieu . vn