Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows Bật các popup quảng cáo từ trang http://www.me[removed].com Tự động download các trojan về máy Xóa bản thân
Trang 11 Bkav1596 (09/04/2008) cập nhật lần thứ 1: SocksF, AutorunDM
Malware cập nhật mới nhất:
Tên malware: W32.AutorunDM.Worm
Thuộc họ: W32.Autorun.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 08/04/2008
Kích thước: 56.5 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Lấy cắp thông tin cá nhân
Làm giảm mức độ an ninh của hệ thống
Cài thêm virus khác vào hệ thống
Hiện tượng:
Sửa registry
Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows
Bật các popup quảng cáo từ trang http://www.me[removed].com
Tự động download các trojan về máy
Xóa bản thân sau khi chạy
Cách thức lây nhiễm:
Phát tán qua USB, các ổ đĩa chia sẻ
Cách phòng tránh:
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi exe com pif và bat
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Tạo ra các bản sao của nó:
o %Program Files%\meex.exe
o %Program Files%\Common Files\Microsoft Shared\hopjuhc.exe
o %Program Files%\Common Files\System\jbmnovh.exe
Trang 2 Tắt chương trình Kaspersky AntiVirus
Xóa key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVP" không cho KAV chạy khi hệ thống khởi động
Ghi giá trị:
o lgdlwuc="%Program Files%\Common Files\Microsoft
Shared\hopjuhc.exe" vào key
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc
hệ thống khởi động
o nuydgvu ="%Program Files%\Common Files\System\jbmnovh.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động
Lây nhiễm qua các ổ USB, ổ mạng:
o Copy bản thân vào các ổ với tên "nuydgvu.exe", tạo file autorun.inf để chạy mỗi khi mở ổ đó ra
Tải về máy file text chứa link down các trojan khác từ trang :
o http://www.webe[removed]b.com/ReadDown.txt
Bật các popup quảng cáo từ trang http://www.me[removed].com
Ghi giá trị "Debugger" = "%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe" vào các key HKLM\ \CurrentVersion\Image File Execution Options\<tên file> để chạy file virus thay vì chạy các file :
o Ras.exe
o avp.com
o avp.exe
o runiep.exe
o PFW.exe
o FYFireWall.exe
o rfwmain.exe
o rfwsrv.exe
o KAVPF.exe
o KPFW32.exe
Chuyên viên phân tích : Nguyễn Quốc Nhân
Một số malware đáng chú ý cập nhật cùng ngày: W32.SoundMan.Worm,
W32.PopDownC.Worm, W32.TTC.Adware, W32.DownloaderQC.Worm,
W32.KavoQE.Worm, W32.DashferES.PE, W32.IEMonitorA.Spyware,
W32.SocksF.Worm, W32.BraviaxHqB.Worm, W32.OnGamesDF.Trojan,
W32.WinsysDropA.Trojan, W32.ZlobST.Adware, W32.007Spysoft.Trojan,
W32.CimusL.Rootkit, W32.CimusO.Rootkit
Trang 32 Bkav1594 (08/04/2008) cập nhật lần thứ 2: AutoVbsC, KavoXW
Malware cập nhật mới nhất:
Tên malware: W32.AutoVbsC.Worm
Thuộc họ: W32.AutoVbs.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 08/04/2008
Kích thước: 10Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Ghi giá trị
%ComputerName%=”C:\Windows\.vbe”
Vào key HKLM\software\microsoft\windows\currentversion\policies\explorer\run
để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên ".vbe" vào thư mục %WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa
Ghi key không cho người dùng hiện các file có thuộc tính ẩn
Ghi các giá trị : "til", "tjs", "djs", "ded", "atd", "dna"
trong key HKLM\ \windows\currentversion\policies\explorer lưu các thông tin của worm
Sau 3 ngày tính từ lần chạy đầu tiên : bật service "task scheduler"
Trang 4 Kiểm tra version của Script hiện tại đang chạy, nếu khác version của worm thì tiến hành gỡ bỏ và xóa file của script đó
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AutoVbsD.Worm,
W32.DownlodAdware.Trojan, W32.KavoXW.Worm, W32.OnGameQA.Trojan, W32.OnGameQB.Trojan, W32.OnGameQC.Trojan, W32.OnGameQD.Trojan
3 Bkav1597 (09/04/2008) cập nhật lần thứ 2: CTfino, RankyG
Malware cập nhật mới nhất:
Tên malware: W32.DownlodAdware.Trojan
Thuộc họ: W32.Downloader.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 09/04/2008
Kích thước: 45 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Tự động download virus về máy người dùng
Hiện pop up các trang quảng cáo
Cách thức lây nhiễm:
Phát tán qua các trang web
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại, phần mềm miễn phí
Mô tả kỹ thuật:
Copy bản thân vào các file:
o %WinDir%\mrofuni.exe
o %WinDir%\tsitra.exe
Ghi key run:
o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
runner1 = "%Windows%\tsitra.exe"
o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
runner1 = "%Windows%\mrofinu.exe"
Trang 5 Download virus từ địa chỉ: http:// o.com/retadpu.php về máy người dùng
Chuyên viên phân tích : Tô Đình Hiệp
4 Bkav1598 (10/04/2008) cập nhật lần thứ 1: KavoPcn, PeedJ
Malware cập nhật mới nhất:
Tên malware: W32.KavoPcn.Worm
Thuộc họ: W32.Kavo.Worm
Loại: Worm
Xuất xứ : Trung Quốc
Ngày phát hiện mẫu: 09/04/2008
Kích thước: 117Kb
Mức độ phá hoại: Trung bình
Nguy cơ: