Cách thức lây nhiễm: Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại Lây nhiễm qua các virus khác download về máy Lây nhiễm qua ổ USB, ổ mạng Cách phòng tránh:
Trang 1Cách thức lây nhiễm:
Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
Lây nhiễm qua các virus khác download về máy
Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào
ổ đĩa
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Mô tả kỹ thuật:
Ghi giá trị:
o “Windws Servces Agents”=”%System%\[random].exe”vào key
HKLM\ \Run
o "ImagePath" =
”%System%\[random].exe”HKEY_LOCAL_MACHINE\SYSTEM\
\Services\Windws Servces Agents
Tạo ra các files:
o %ProgramFiles%\Common Files\Microsoft
Shared\MSInfo\[random].exe (bản sao của virus)
o %System%\[random].exe (bản sao của virus)
Chèn mã độc của nó vào các processes:
o iexplore.exe
o svchost.exe
Copy bản thân vào ổ USB, ổ mạng với tên [random].exe, tạo file Autorun.inf
để chạy virus mỗi khi dùng các ổ này
Bật tính năng Autorun của Windows, không cho hiện các file ẩn
Không cho thay đổi trang chủ của Internet Explorer
Chuyên viên phân tích : Cao Minh Phương
Bkav2060 (18/12/2008) cập nhật lần thứ 1: FialaLZ, MixaIO
Malware cập nhật mới nhất:
Tên malware: W32.MixaIO.Worm
Thuộc họ: W32Mixa.Worm
Loại: Worm
Xuất xứ: Việt Nam
Trang 2 Ngày phát hiện mẫu: 17/12/2008
Kích thước: 4312Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: TaskMgr, RegistryTool,
Không hiển thị được file ẩn và file hệ thống
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Ghi giá trị
"Userinit " = %SysDir%\systemio.exe
vào key HKLM\ \CurrentVersion\Winlogon\
và Virus=%WinDir%\Mixa.exe
Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành các file :
%SysDir%\systemio.exe
%WinDir%\Mixa.exe
Liên tục check các process, nếu thấy process có chứa 1 trong các xâu :
taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng và LogOff máy tính
Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào tất cả các ổ đĩa
Liên tục ghi key làm người dùng không hiện được các file ẩn và file hệ thống
Chuyên viên phân tích : Phan Đình Phúc
Một số malware đáng chú ý cập nhật cùng ngày: W32.Bulla.Worm,
W32.FakeExpJ.Trojan, W32.FialaLZ.Worm, W32.FtpPatch.Trojan,
W32.Svcrin.Trojan, W32.GeminiSVC.Worm, W32.ProAntispy.Spyware,
W32.RapidAntiC.Adware, W32.RevoSO.Worm
Trang 3Bkav2061 (18/12/2008) cập nhật lần thứ 2: FialaOB, CimusHI
Malware cập nhật mới nhất:
Tên malware: W32.FialaOB.Worm
Thuộc họ: W32.Fiala.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 17/12/2008
Kích thước: 15Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Bị ăn cắp mật khẩu tài khoản Game Online
Bị Hacker chiếm quyền điều khiển từ xa
Hiện tượng:
Sửa registry
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác
Không hiện được các file có thuộc tính ẩn
Hiện các popup quảng cáo gây khó chịu
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không
sử dụng được
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được)
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Giả mạo Gateway để phát tán link độc có chứa virus
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%
Trang 4 Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa
Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động
Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, )
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.ADSviru.Trojan,
W32.NovaGameL.Trojan, W32.SpeOngameAC.Trojan, W32.KavoDPOIE.Worm,
Trang 5W32.ReaderDPV.Trojan, W32.Pwalker.Worm, W32.CimusHJ.Rootkit,
W32.Glowar.Worm
Bkav2062 - Phát hành lần thứ 1 ngày 19/12/2008, cập nhật
Downer, FialaOC, AlitaoD, AmvoDTQC, SecretDTLP
Malware cập nhật mới nhất:
Tên malware: W32.AmvoDTQC.Worm
Thuộc họ: W32.Amvo.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 18/12/2008
Kích thước:108Kb
Mức độ phá hoại: Cao