Xem mẫu
- Tên malware: W32.QhostA.Trojan
Thuộc họ: W32.Qhost.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 17/04/2008
Kích thước: 83 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Không cho người sử dụng truy cập vào các trang web: mcafee.com,
kaspersky.com, avast.com...
Cách thức lây nhiễm:
Phát tán qua các trang web.
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại, phần mềm miễn phí.
Mô tả kỹ thuật:
Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để
khởi động mỗi khi bật máy [HKLM\...\Windows\CurrentVersion\Run]
"Microsoft Internet Explorer" = "%SysDir%\iexplore.exe"
Dump ra các file
o %SysDir%\%random_name%.exe được phát hiện là QhostADmp.
Sửa file host để ngăn không cho người dùng truy nhập vào các trang:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
- 127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 vncsvr.com
127.0.0.1 secdreg.org
127.0.0.1 virusscan.jotti.org
127.0.0.1 virustotal.com
127.0.0.1 dnl-eu12.kaspersky-labs.com
127.0.0.1 dnl-eu13.kaspersky-labs.com
127.0.0.1 dnl-cd1.kaspersky-labs.com
127.0.0.1 dnl-ru1.kaspersky-labs.com
127.0.0.1 dnl-ru2.kaspersky-labs.com
127.0.0.1 dnl-ru5.kaspersky-labs.com
- 127.0.0.1 dnl-cn1.kaspersky-labs.com
127.0.0.1 liveupdatesnet.com
...
o %SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi
key run: [HKLM\...\Windows\CurrentVersion\Run] với giá trị "Advanced
DHTML Enable" = %SysDir%\%random_name%.exe
Chuyên viên phân tích : Tô Đình Hiệp
11. Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB...
Malware cập nhật mới nhất:
Tên malware: W32.Wycali.Worm
Thuộc họ: W32.Wycali.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 22/05/2008
Kích thước: 9Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Mất các file .GHO
Làm hỏng một số file chương trình.
Hiện tượng:
Sửa registry.
Không sử dụng được một vài chương trình antivirus.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Lây qua các file thực thi.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
- Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe
Kiểm tra nếu có process : avp.exe thì đặt lại năm hệ thống thành 2004.
Xóa tất cả các file .GHO
Tìm và lây nhiễm tất cả các file exe ngoại trừ : qq.exe, QQDoctor.exe,
QQDoctorMain.exe. Đổi tên session cuối thành ".WYCao" nên một số
chương trình ứng dụng sẽ không chạy được.
Download file config từ link : http://x.u[removed]-01.net/x.txt
Đọc file config, nếu sau từ khóa InfeWeb: có đường link thì ghi link
đó vào cuối tất cả các file có đuôi : .do, .htm, .html, .shtm, .shtml, .asp,
.aspx, .php, .jsp, .cgi, .xml
Download trojan OnlineGames từ các link :
http://1.fo[removed]00.net/a1.exe
......................
http://1.fo[removed]d00.net/a36.exe
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm,
W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan,
W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan,
W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan,
W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan,
W32.VetorDH.PE...
12. Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg,
AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE...
Malware cập nhật mới nhất:
Tên malware: W32.PeserD.Worm
Thuộc họ: W32.Peser.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 28/05/2008
Kích thước: 61Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
- Làm hỏng các file thực thi đã được pack.
Hiện tượng:
Sửa registry.
Không chạy được một vài chương trình thực thi.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi
khi Windows khởi động
Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy.
Copy bản thân thành file có tên "mscrss.exe" vào thư mục %SysDir%
Copy bản thân kèm theo file Autorun.inf vào các ổ USB để lây nhiễm.
Download file từ link :
http://ieopen.yhg[removed]es.com/iedown/down/upbho.exe
Chèn thêm vào các file : .cgi, .php, .jsp, .asp, .html, .htm dòng sau :
Tìm và lây nhiễm code độc vào các file *.exe (ngoại trừ thư mục Windows và
ProgramFiles), đồng thời ghi bản thân
nguon tai.lieu . vn