Phát tán qua Yahoo Messenger Cách phòng tránh: Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file.. Khô
Trang 126 Bkav1949 (17/10/2008) cập nhật lần thứ 1: WhBoyFB, RestDot
Malware cập nhật mới nhất:
Tên malware: W32.YMdcVB.Worm
Thuộc họ: W32.YMdcVB.Worm
Loại: worm
Xuất Xứ : Việt Nam
Ngày phát hiện mẫu: 16/10/2008
Kích thước: 172Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Tự động gửi tin nhắn qua Yahoo Messenger
Cách thức lây nhiễm:
Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Phát tán qua trang web độc hại
Phát tán qua Yahoo Messenger
Cách phòng tránh:
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không kick vào các link lạ được gửi qua Yahoo Messenger!
Mô tả kỹ thuật:
Tạo bản sao tại địa chỉ:
o %Windir%\Help\Other.exe
o %Windir%\inf\Other.exe
o %Windir%\system\Fun.exe
o %System%\config\Win.exe
o %System%\WinSit.exe
o %Windir%\dc.exe
o %Windir%\SVIQ.EXE
Trang 2 Tự động gửi tin nhắn tới các nick trong danh sách với nội dung :
"[http://]dungcoivb.googlepages.com/[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi "
Ghi các Key sau để Worm có thể được kích hoạt mỗi khi khởi động
hệ thống :
o HKCU\ \CurrentVersion\Run\"dc2k5" =
"C:\WINDOWS\SVIQ.EXE"
o HKCU\ \CurrentVersion\Run\"Fun" =
"C:\WINDOWS\system\Fun.exe"
o HKCU\ \CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
o HKCU\ \Windows NT\CurrentVersion\Windows\"run" =
"C:\WINDOWS\system32\config\Win.exe"
o HKLM\ \Windows NT\CurrentVersion\Winlogon\"Shell" =
"Explorer.exe C:\WINDOWS\system32\WinSit.exe"
o HKCU\ \Windows NT\CurrentVersion\Windows\"load" =
"C:\WINDOWS\inf\Other.exe"
Chuyên viên phân tích: Ngô Quốc Hoàn
27 Bkav1947 (16/10/2008) cập nhật lần thứ 1: FlashyK, WhBoyJF
Malware cập nhật mới nhất:
Tên malware: W32.FakeAntiXPB.Spyware
Thuộc họ: W32.FakeAntivirus
Loại: Spyware
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 15/10/2008
Kích thước: 111 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Lấy cắp và gửi thông tin cá nhân ra bên ngoài
Hiện tượng:
Sửa registry
Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và yêu cầu đăng kí sử dụng, cập nhật
Trang 3 Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning! Spyware detected on your computer Install an antivirus or spyware remover
to clean your computer!"
Máy tính bị chậm đi
Xuất hiện screensaver có dạng màn hình dump chuẩn của windows khi máy để khoảng 10 phút mà không sử dụng
Cách thức lây nhiễm:
Do malware khác download về
Cách phòng tránh:
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file
có đuôi exe com pif và bat
Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Download file có dung lượng >9 Mb để làm chương trình diệt virus giả
Download file screensaver có dạng màn hình dump chuẩn vào thư mục %system%
Ghi key để virus được load lên khi khởi động:
+ HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"lphc9dkj0ec6a"="%SYSDIR%/lphc9dkj0ec6a.exe"
"SMrhccdkj0ec6a"="%SYSDIR%/rhcahej0ej6v.exe"
Ghi các key để thay đổi màn hình nền desktop và thiết đặt screensaver +"HKCU\ \CurrentVersion\Policies\System"
"NoDispBackgroundPage"=1
"NoDispScrSavPage"=1
+"HKEY_CURRENT_USER\\Control Panel\\Colors"
"ackground"
"WallpaperStyle"
"TileWallpaper"
"SCRNSAVE.EXE"
"OriginalWallpaper"
"ConvertedWallpaper"
"OriginalWallpaper"
"Wallpaper"
Chuyên viên phân tích : Phan Đình Phúc
Trang 4Một số malware đáng chú ý cập nhật cùng ngày: W32.KxvoTLD.Worm,
W32.KxvoTT.Worm, W32.TrojanLoaderTA.Trojan,
W32.CinmusYR.Rootkit, W32.VundoIA.Trojan, W32.CtfMonP.Worm, W32.FialaPI.Worm, W32.AmvoSSC.Worm, W32.KavoSSA.Worm,
W32.RsnetC.Worm
28 Phát hành lần thứ 2 ngày 24/10/2008, cập nhật AgentBE, SrizbJ,
UserinitFakeB, TmpGex, VundoBCN, YuriC
Malware cập nhật mới nhất:
Tên malware: W32.UserinitFakeB.Trojan
Thuộc họ: W32.UserinitFake.Trojan
Loại: Trojan
Ngày phát hiện mẫu: 24/10/2008
Kích thước: 8Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web
Do trojan khác download về
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Ghi đè virus lên file userinit.exe của Windows để virus được kích hoạt mỗi khi Win khởi động
Tạo mutex : MICK_DOWNLOAD_MUTEX để chỉ 1 trojan cùng loại chạy trên 1 máy
Download dk.txt từ đường link : http://www.d[removed]tdt.net/dk.txt File này chứa rất nhiều link download các trojan khác :
http://png1.gacxz.net/soft0.exe
http://png1.gacxz.net/soft1.exe
http://png1.gacxz.net/soft33.exe
Chuyên viên phân tích : Ngô Quốc Hoàn
Trang 529 Bkav 1986 - Phát hành lần thứ 2 ngày 28/10/2008, cập nhật SecretQG,
BtorrenM, StupAntiSE, FialaPN, ServiceDwn, Kavo2F
Malware cập nhật mới nhất:
Tên malware: W32.FialaPN.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 28/10/2008
Kích thước: 15Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Bị ăn cắp mật khẩu tài khoản Game Online
Bị Hacker chiếm quyền điều khiển từ xa
Hiện tượng:
Sửa registry
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác
Không hiện được các file có thuộc tính ẩn
Hiện các popup quảng cáo gây khó chịu
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được