Bách Khoa Antivirus-Đặc Điểm Các Virus part 4 pdf

Cách thức lây nhiễm:  Phát tán qua trang web.. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật:  Ghi

o Nod32kui.EXE

o Regedit.EXE

o VPC32.exe

o VPTRAY.exe

o WOPTILITIES.EXE

o Wuauclt.EXE

 Kết nối đến trang http://2.troj[Removed]8.com/dd để cập nhật danh sách và download các virus khác về máy

 Tạo các mutex để chỉ chạy một bản sao của virus:

o B_ZX

o B_MH

o B_DH

o 52D77ECE7B32424dB93B9A6EFBDDB0DF

Chuyên viên phân tích : Cao Minh Phương

Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,

W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,

W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan

7 Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX

Malware cập nhật mới nhất:

 Tên malware: W32.FlashyC.Worm

 Thuộc họ: W32.Flashy.Worm

 Loại: Worm

 Xuất xứ: Nước ngoài

 Ngày phát hiện mẫu: 11/04/2008

 Kích thước: 36Kb

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Sửa registry

 Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của windows : RegistryTool, TaskMgr,

Cách thức lây nhiễm:

 Phát tán qua trang web

 Tự động lây nhiễm vào USB

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

Mô tả kỹ thuật:

 Ghi giá trị

“Flashy Bot”=”%SysDir%\Flashy.exe”

Vào key HKLM\ \Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động

 Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir%

và %StartUp%

 Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư mục tìm được

 Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy

 Tắt service : SharedAccess, bật service : Telnet

 Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa :

d,e,f,g,h,i,j nếu tồn tại các ổ đĩa này

 Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử dụng một vài tiện ích của windows : RegistryTool, TaskMgr,

 Đổi mật khẩu của acc administrator thành hacked

Chuyên viên phân tích : Nguyễn Công Cường

Một số malware đáng chú ý cập nhật cùng ngày: W32.VbsMulu.Worm,

W32.AmvaX.Worm, W32.AmvaXDll1.Worm, W32.AmvaXDll2.Worm, W32.KavoXZ.Worm, W32.KavoXZDll1.Worm

8 Bkav1602 (12/04/2008) cập nhật lần thứ 1: SecretL, RBotH

Malware cập nhật mới nhất:

 Tên malware: W32.SecretL.Worm

 Thuộc họ: W32.Secret.Worm

 Loại: Worm

 Ngày phát hiện mẫu: 11/04/2008

 Kích thước: 109Kb

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Sửa registry

Cách thức lây nhiễm:

 Phát tán qua trang web

 Tự động lây nhiễm vào USB

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa

Mô tả kỹ thuật:

 Sửa giá trị

“Userinit” và "Shell"

của key HKLM\ \Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động

 Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir%

và "Userinit.exe" vào thư mục %WinDir%

 Copy bản thân thành file có tên "Secret.exe" kèm theo file

"Autorun.inf" vào ổ USB để phát tán

 Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :

%WinDir%\kdcoms.dll

Chuyên viên phân tích : Nguyễn Công Cường

Một số malware đáng chú ý cập nhật cùng ngày:

W32.DownloaderIA.Trojan, W32.VundoZA.Trojan, W32.VundoZB.Trojan, W32.AmvoGA.Worm, W32.AmvoGB.Worm, W32.ErrCleanBA.Adware, W32.Ekmogen.Worm, W32.Lotus.Worm, W32.LotusB.Worm,

W32.Pigeon.Adware, W32.ZhiDaoG.Worm

9 Bkav1605 - Phát hành lần thứ 2 ngày 14/04/2008 , cập nhật FraudToolC,

XpUpdaterD, CinmusAP, Glock, HBKer, RankyH, SdBotAB

Malware cập nhật mới nhất:

 Tên malware: W32.BraviaQ.Trojan

 Thuộc họ: W32.Bravia.Trojan

 Loại:Trojan

 Xuất xứ: Nước ngoài

 Ngày phát hiện mẫu: 14/04/2008

 Kích thước: 16.5 Kb

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Ngăn cản người dùng không chạy được các chương trình diệt virus như: Norton Antivirus, Nod32, và các chương trình firewall

 Tự động download virus về máy người sử dụng

 Hiện thông báo giả đánh lừa người sử dụng:

o Your computer is infected!

o Windows has detected spyware infection!

o It is recomended to use special antispyware tools to pervent data loss

o Windows will now download and install the most up-to-date

antispyware for you

o Click here to protect your computer from spyware!

Cách thức lây nhiễm:

 Phát tán qua các trang web

 Do virus khác download về

Cách phòng tránh:

 Không nên truy cập vào các trang web độc hại

Mô tả kỹ thuật:

 Tạo mutex {43278 4632} kiểm tra chỉ có một phiên bản của virus chạy trên máy

 Ghi file: %system%\univrs32.dat ( được phát hiện là virus BraviaD )

 Ghi các key làm giảm mức độ anh ninh của hệ thống:

o HKLM\ \Microsoft\Security Center và HKCU\ \Microsoft\Security Center với các giá trị

AntiVirusDisableNotify = 0x01

FirewallDisableNotify = 0x01

UpdatesDisableNotify = 0x01

AntiVirusDisableNotify = 0x01

FirewallDisableNotify =0x01

o HKCU\ \Microsoft\WindowsFirewall\DomainProfile

EnableFirewall = 0x00

HKCU\ \WindowsFirewall\StandardProfile

EnableFirewall = 0x00

o HKLM\ \CurrentVersion\Internet Settings\Zones\X name= "Y" data="IP address" ;

trong đó : X=0;1;2;3;4 và Y=1200;1201;1208;1608;1804;2500;

để thiết lập chế độ local ip cho một số IP qua đó làm giảm mức độ kiểm soát

an ninh với các IP này

 Hiện thông báo giả: "Your computer is infected!"

 Đóng các process của các chương trình phát hiện virus, rootkit và spyware: kmd.exe, winavxx.exe, bolenjx.exe, bolenja.exe,

rootkit_detektive.exe, autoruns.exe, vundofix.exe, trjscan.exe, tpsrv.exe, thguard.exe, symwsc.exe, superantispyware.exe, spyblock.dll, spbbcsvc.exe, sndsrvc.exe, sndmon.exe, sdtrayapp.exe, sbserv.exe, pskmssvc.exe,

psimsvc.exe, pshost.exe, psctrls.exe, pifsvc.exe, pavsrv51.exe, pavprsrv.exe, lucoms~1.exe, lsetup.exe, ccsvchst.exe, ccproxy.exe, avengine.exe,

avciman.exe, ashwebsv.exe, ashserv.exe, ashmaisv.exe, apvxdwin.exe, appsvc32.exe, aluschedulersvc.exe, gmer.exe, killbox.exe, avgupsvc.exe, avgamsvr.exe, avgw.exe, avgcc.exe, msmpeng.exe, printer.exe,

svcntaux.exe, swdsvc.exe, avgas.exe, symlcsvc.exe, fwservice.exe,

prevxcsi.exe, navilog, navapsvc.exe, globkill.exe, dss.exe, procmast.exe, combo.exe, defwatch.exe, ccsetmgr.exe, ccpwdsvc.exe, sdfix.exe,

zcomservice.exe, zcodec.exe, zclient.exe, pywaredetector.exe, spybotsd.exe, spybot.exe, savscan.exe, sandboxieserver.exe, rtvscan.exe, pboptions.exe

 Ẩn file với tên bravia.exe, csrss.exe,

Chuyên viên phân tích : Phan Đình Phúc

HackerOnlineT, AgentProx, PakesD, QhostA, StartPageH, BlockReA

Malware cập nhật mới nhất: