Bách Khoa Antivirus-Đặc Điểm Các Virus part 9 pot

 Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASA

 Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,

Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,

WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,

Runiep.EXE, GuardField.EXE, GFUpd.EXE

 Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe,

UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe,

VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE,

RAVMON.EXE, RAVMOND.EXE,

GuardField.exe, Ravxp.exe, GFUpd.exe

 Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher

McAfee Framework, Norton AntiVirus Server

 Xóa key không cho người dùng khởi động vào chế độ Safe mode

 Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống

 Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe

 Download malware từ các link :

http://xni[removed]i.com/1.exe

http://xni[removed]i.com/10.exe

 Các malware này bao gồm:

o Trojan giả mạo gateway để phát tán virus qua link độc

(http://w.xnibi.co[removed]/index.gif, )

o Downloader (tải về rất nhiều malware khác)

o Keylogger (ăn cắp mật khẩu Games Online)

o Adware (popup các trang web quảng cáo, sửa StartPage của IE),

Chuyên viên phân tích : Nguyễn Công Cường

SoberB, CinmusXT, LogoOneXC, FialaDK, DakNongHB

Malware cập nhật mới nhất:

 Tên malware: W32.LogoOneXC.PE

 Thuộc họ: W32.LogoOne.PE

 Loại: PE

 Xuất xứ: Trung Quốc

 Ngày phát hiện mẫu: 17/09/2008

 Kích thước: 61Kb

 Mức độ phá hoại: Cao

Nguy cơ:

 Ăn cắp thông tin cá nhân

 Lây file

 Làm giảm mức độ bảo mật của hệ thống

Hiện tượng:

 Sửa registry

 Dừng các chương trình diệt virus

 Làm chậm hệ thống

 Mất icon của các file exe

Cách thức lây nhiễm:

 Phát tán qua trang web, phần mềm miễn phí

 Phát tán qua các tài nguyên chia sẻ mạng nội bộ

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

 Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file

có đuôi exe com pif và bat

 Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file

Mô tả kỹ thuật:

 Ghi giá trị

"load" = %WinDir%\uninstall\rundl132.exe

vào key HKLM\ \Windows\CurrentVersion\Run để chạy virus mỗi khi windows được khởi động

 Kiểm tra đã tồn tại key

[HKLM\SOFTWARE\Soft\DownloadWWW]

với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa

 Copy chính nó vào

%Windir%\ Logo1_.exe

%Windir%\uninstall\rundl132.exe

 Drop ra file: %WinDir%\RichDll.dll

 Ghi ngày lây nhiễm vào file C:\_desktop.ini

 Lây file bằng cách ghi code virus vào trước file gốc

 Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y

 Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared

 Không lây những file đường dẫn có chứa:

• \Program Files\

• Common Files

• ComPlus Applications

• Documents and Settings

• InstallShield Installation Information

• Internet Explorer

• Messenger

• Microsoft Frontpage

• Microsoft Office

• Movie Maker

• MSN

• MSN Gaming Zone

• NetMeeting

• Outlook Express

• Recycled

• system

• System Volume Information

• system32

• windows

• Windows Media Player

• Windows NT

• WindowsUpdate

• winnt

 Kill các services và chương trình diệt virus:

• "Kingsoft AntiVirus Service"

• EGHOST.EXE

• IPARMOR.EXE

• KAVPFW.EXE

• MAILMON.EXE

• mcshield.exe

• RavMon.exe

• RavMonClass

• Ravmond.EXE

• regsvc.exe

Chuyên viên phân tích : Nguyễn Công Cường

22 Bkav 1898 - Phát hành lần thứ 2 ngày 20/09/2008, cập nhật Zhido,

BeepSysB, BrontokHD, FakeAlertEA, PWSStealBJ, VikingAB

Malware cập nhật mới nhất:

 Tên malware: W32.FakeAlertEA.Adware

 Thuộc họ:W32.FakeAlert.Adware

 Loại: Adware

 Xuất xứ: Nước ngoài

 Ngày phát hiện mẫu: 20/09/2008

 Kích thước: 204 Kb

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

 Mất các thông tin cá nhân

Hiện tượng:

 Wallpaper được thay bằng một cảnh báo virus (giả) và không thể thay đổi được

 Xuất hiện các cảnh báo virus (giả) liên tục

 Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả)

Cách thức lây nhiễm:

 Phát tán qua trang web lừa đảo

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

 Không nên vào các trang rao bán chương trình diệt virus mà không rõ nguồn gốc

Mô tả kỹ thuật:

 Tạo bản sao của chính nó vào thư mục %SysDir%

 Tạo ra file có tên ngẫu nhiên, ví dụ

%SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper, hiển thị cảnh báo virus (giả)

 Sửa giá trị của các khóa "Wallpaper", "OriginalWallpaper" và

"ConvertedWallpaper"

trong khóa "HKCU\Control Panel\Desktop" thành

"%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper của Windows

 Ghi các giá trị "lphcns0j0e1av" = "%SysDir%\lphcns0j0e1av.exe" vào khóa

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" để virus có thể khởi động cùng Windows

 Thả ra tập tin screen saver có hình dạng màn hình xanh chết chóc để đánh lừa cảm giác của người sử dụng

 Sử dụng website www.anti-[remove]2008.net làm homepage giả mạo

Chuyên viên phân tích : Lê Anh Vũ Hà

FilaoB, HosterO, LcassA, SecretFE

Malware cập nhật mới nhất:

 Tên malware: W32.FialaFL.Worm

 Thuộc họ: W32.Fiala.Worm

 Loại: Worm

 Xuất xứ: Trung Quốc

 Ngày phát hiện mẫu: 30/09/2008

 Kích thước: 18Kb

 Mức độ phá hoại: Cao

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

 Bị ăn cắp mật khẩu tài khoản Game Online