Bách Khoa Antivirus-Đặc Điểm Các Virus part 29 potx

 Không hiện được các file có thuộc tính ẩn.. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng

Trang 1

 Bị Hacker chiếm quyền điều khiển từ xa

Hiện tượng:

 Sửa registry

 Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác

 Không hiện được các file có thuộc tính ẩn

 Hiện các popup quảng cáo gây khó chịu

 Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không

sử dụng được

 Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được)

Cách thức lây nhiễm:

 Phát tán qua trang web

 Tự động lây nhiễm vào USB

 Giả mạo Gateway để phát tán link độc có chứa virus

Cách phòng tránh:

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa

Mô tả kỹ thuật:

 Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%

 Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa

 Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động

 Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,

KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,

Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,

WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,

Runiep.EXE, GuardField.EXE, GFUpd.EXE

 Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,

ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,

KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE,

GuardField.exe, Ravxp.exe, GFUpd.exe

Trang 2

 Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher

McAfee Framework, Norton AntiVirus Server

 Xóa key không cho người dùng khởi động vào chế độ Safe mode

 Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống

 Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe

 Download malware từ các link :

http://xni[removed]i.com/1.exe

http://xni[removed]i.com/10.exe

 Các malware này bao gồm:

o Trojan giả mạo gateway để phát tán virus qua link độc

(http://w.xnibi.co[removed]/index.gif, )

o Downloader (tải về rất nhiều malware khác)

o Keylogger (ăn cắp mật khẩu Games Online)

o Adware (popup các trang web quảng cáo, sửa StartPage của IE),

Chuyên viên phân tích : Nguyễn Công Cường

Bkav2054 (15/12/2008) cập nhật lần thứ 1: ExpPatch, DashferLA

Malware cập nhật mới nhất:

 Tên malware: W32.DashferLA.PE

 Thuộc họ: W32.Dashfer.PE

 Loại: PE

 Xuất xứ: Trung Quốc

 Ngày phát hiện mẫu: 12/12/2008

 Kích thước: 165Kb

 Mức độ phá hoại: Cao

Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống

 Sửa registry

 Không vào được chế độ safe mode của Windows

 Xuất hiện popup các trang web tiếng Trung Quốc

 Mất checkbox để hiển thị các file hệ thống

Trang 3

 Tự động lây nhiễm qua USB

 Lây qua các file thực thi

 Xóa các key :

HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

HKLM\ \Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

làm cho máy tính không khởi động được trong chế độ safemode

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và

~.exe vào thư mục Startup

để virus được thực thi khi khởi đông hệ thống

 Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy

 Dump ra các file :

%SysDir%\Com\smss.exe

%SysDir%\Com\netcfg.dll

%SysDir%\Com\netcfg.000

%SysDir%\Drivers\Alg.exe

 Sửa key làm mất checkbox để hiển thị các file hệ thống

 Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa

 Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard

 Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén rar) đoạn script :

 Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống

Chuyên viên phân tích : Nguyễn Ngọc Dũng

Một số malware đáng chú ý cập nhật cùng ngày: W32.ExpPatch.PE,

W32.FialaLN.Worm, W32.Sockkey.Trojan, W32.VbsKer.Worm,

W32.XpackT.PE, W32.BootDCOM.Worm, W32.FakeAntiVRM.Adware,

W32.VundoS1A.Trojan, W32.Cahtos.Worm

Trang 4

Bkav2056 - Phát hành lần thứ 1 ngày 16/12/2008, cập nhật

FialaJO, AmvaBB, JvsoftAB, SecretPH, VamsoftB, OngameA2J

 Tên malware: W32.SecretPH.Worm

 Thuộc họ: W32.Secret.Worm

 Loại: Worm

 Xuất xứ: Việt Nam

 Kích thước: 118Kb

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Sửa registry

 Tự động lây nhiễm vào USB

 Sửa giá trị

“Userinit” và "Shell"

của key HKLM\ \Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động

 Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và

"Userinit.exe" vào thư mục %WinDir%

 Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào

ổ USB để phát tán

 Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :

%WinDir%\kdcoms.dll

Chuyên viên phân tích : Tô Đình Hiệp

Trang 5

Phát hành lần thứ 2 ngày 16/12/2008, cập nhật

BootDH, ConthinC, ReaderAC, FakeServicesJK, HotbarJA

 Tên malware: W32.FakeServicesJK.Worm

 Thuộc họ: W32.FakeServices.Worm

 Loại: Worm

 Xuất xứ: Trung Quốc

 Kích thước: 166 Kb

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Không thay đổi được trang chủ của Internet Explorer

Định dạng
Số trang	5
Dung lượng	143,12 KB