Không hiện được các file có thuộc tính ẩn.. Cách thức lây nhiễm: Phát tán qua trang web.. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các
Trang 1 Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Không hiện được các file có thuộc tính ẩn
Ngăn cản người dùng sử dụng các chương trình diệt virus
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Copy bản thân thành file có tên "kavo.exe" vào thư mục %SysDir%
Tạo ra các files:
o %SysDir%\kavo0.dll
o %SysDir%\kavo1.dll
o %TempDir%\mnnxju.dll
o %TempDir%\fbwi.dll
Ghi giá trị
“Kava”=”C:\WINDOWS\system32\kavo.exe”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Ghi các key
HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue"
= "0" không cho hiện file ẩn
HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" =
"0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa
Tắt các cửa sổ cảnh báo của chương trình Kaspersky
Tắt process của các chương trình diệt virus KAV
Tiêm mã độc vào process : explorer.exe
Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan
Chuyên viên phân tích : Ngô Quốc Hoàn
Trang 2Một số malware đáng chú ý cập nhật cùng ngày: W32.DashferET.PE,
W32.Zelantine.Trojan, W32.BraveSentryE.Worm, W32.DropperHK.Worm, W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm,
W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware,
W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm, W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm
5 Bkav1599 (10/04/2008) cập nhật lần thứ 2: Svchot, Spyde
Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Windows title của ie bị đổi thành : Hacked by Spiderman~~!!! (2007-June-10)
Thay đổi các link trong favorites của ie
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Trang 3 Ghi giá trị
“MicrosoftComboBoxControl”=”C:\Windows\comboClt.ocx.vbs”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "comboClt.ocx.vbs" vào thư mục
%WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa
Đặt lại windows title của ie thành : Hacked by Spiderman~~!!! (2007-June-10)
Thay đổi các linh trong favorites của ie thành :
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
http://www.You were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
http://www.You were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan
6 Bkav1600 (11/04/2008) cập nhật lần thứ 1: FakeExplorer, Ekoqo
Trang 4Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Cài thêm virus/spyware vào hệ thống
Hiện tượng:
Không chạy được các chương trình Anti Virus, các chương trình hệ thống
Cách thức lây nhiễm:
Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
Lây nhiễm qua các virus khác download về máy
Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
Không nên mở các file đính kèm có phần mở rông exe, com, pif
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Mô tả kỹ thuật:
Ghi giá trị:
o IEXPLORER=%System%\iexplorer.exe vào key HKLM\ \Run
o DisableTaskMgr=1vào key HKCU\ \Policies\System
Tạo ra các files:
o %System%\iexplorer.exe (bản sao của virus)
o %System%\wuauc1t.exe (bản sao của virus)
o c:\explorer.exe (bản sao của virus)
Trang 5 Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf
để tự chạy virus
Ghi thêm các giá trị vào key HKLM\SOFTWARE\ \Image File
Execution Options, ngăn không cho các chương trình sau chạy:
o 360rpt.EXE
o 360safe.EXE
o 360tray.EXE
o ANTIARP.exe
o Ast.EXE
o AutoRunKiller.exe
o AvMonitor.EXE
o AVP.EXE
o CCenter.EXE
o Frameworkservice.EXE
o IceSword.EXE
o Iparmor.EXE
o KASARP.exe
o KRegEx.EXE
o KVMonxp.kxp
o KVSrvXP.EXE
o KVWSC.EXE
o Mmsk.EXE
o Navapsvc.EXE