Bách Khoa Antivirus-Đặc Điểm Các Virus part 31 doc

Cách phòng tránh:  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa..  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen,

Trang 1

Nguy cơ:

 Ăn cắp thông tin cá nhân

 Làm giảm mức độ an ninh của hệ thống

Hiện tượng:

 Thay đổi registry

Cách thức lây nhiễm:

 Tự động lây nhiễm vào USB

 Phát tán qua các trang web độc hại

Cách phòng tránh:

 Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào

ổ đĩa

 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

Mô tả kỹ thuật:

 Copy chính nó thành các file sau:

o %Sysdir%\\amvo.exe

 Tạo các file sau:

o %Userdir%\Local Settings\Temp\8sky7pia.dll

o %Userdir%\Local Settings\Temp\4.sys

o %Userdir%\Local Settings\Temp\help.exe

o %Sysdir%\amvo0.dll

 Ghi key sau để tự động kích hoạt virus khi khởi động máy tính:

o HKCU\ \Windows\CurrentVersion\Run\amva

 Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus lây lan

Chuyên viên phân tích: Nguyễn Công Cường

Bkav2065 - Phát hành lần thứ 1 ngày 20/12/2008, cập nhật

Debugter, SecretCH, JvsoftDWEB, FakeAntiNS, CognacKL

Malware cập nhật mới nhất:

 Tên malware: W32.JvsoftDWEB.Worm

 Thuộc họ: W32.Jvsoft.Worm

 Loại: Worm

 Xuất xứ : Trung Quốc

 Ngày phát hiện mẫu: 19/12/2008

 Kích thước: 162Kb

 Mức độ phá hoại: Trung bình

Trang 2

Nguy cơ:

 Sửa registry

 Không hiện được các file có thuộc tính ẩn

 Ngăn cản người dùng sử dụng các chương trình diệt virus

 Phát tán qua trang web

 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa

 Copy bản thân thành file có tên "jvosoft.exe" vào thư mục %SysDir%

 Tạo ra các files:

o %SysDir%\jvosoft0.dll

o %SysDir%\jvosoft1.dll

o %TempDir%\mnnxju.dll

o %TempDir%\fbwi.dll

 Ghi giá trị

“Kava”=”C:\WINDOWS\system32\jvosoft.exe”

Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động

 Ghi các key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL

"CheckedValue" = "0" không cho hiện file ẩn

HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2"

HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" =

"0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa

 Tắt các cửa sổ cảnh báo của chương trình Kaspersky

 Tắt process của các chương trình diệt virus KAV

 Tiêm mã độc vào process : explorer.exe

 Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan

Chuyên viên phân tích : Lê Quang Hà

Bkav 2067 - Phát hành lần thứ 1 ngày 23/12/2008, cập nhật

Trang 3

FakeAlertQIB, FialaNA, VamsoftE, AutorunZX, Forbot

 Tên malware: W32.AutorunZX.Worm

 Thuộc họ: W32.Autorun.Worm

 Xuất xứ: Nước ngoài

 Mức độ phá hoại: Trung bình

Nguy cơ:

 Sửa registry

 Copy bản thân thành file có tên msvcrt.bak vào thư mục cài đặt Internet Explorer

 Tạo ra các file:

o msvcrt.dll trong thư mục cài đặt Internet Explorer

o Relive.dll trong thư mục %CommonFiles%

 Ghi giá trị:

o {0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}="" vào key: HKLM\ \Explorer\ShellExecuteHooks

o (Default)= "C:\Program Files\Internet Explorer\msvcrt.dll" vào key:

HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}\InProcServer32\

 Tạo key:

HKLM\ \Browser Helper

Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}

và ghi giá trị (Default)="%CommonFiles%\Relive.dll" vào key:

HKCR\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}\InProcServer32\

 Virus tìm cách xóa các giá trị sau:

Trang 4

o {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

o {131AB311-16F1-F13B-1E43-11A24B51AFD1}

o {274B93C2-A6DF-485F-8576-AB0653134A76}

o {1496D5ED-7A09-46D0-8C92-B8E71A4304DF}

o

trong key HKLM\ \Explorer\ShellExecuteHooks

 Virus tìm cách xóa các file sau: smss.exe, csrss.exe, conime.exe, ctfmon.exe, stpgldk.exe, wdso.exe,

ztso.exe, tlso.exe, rxso.exe, srogm.exe trong thư mục %Temp%

 Copy bản thân thành file Ghost.pif và tạo file autorun.inf trong các ổ đĩa USB để virus lây lan

Chuyên viên phân tích : Lê Anh Vũ Hà

Bkav2073 - Phát hành lần thứ 2 ngày 26/12/2008, cập nhật

ReaderVS, SecretDA, PekerA, RodviA, FialaYA, XpondA

 Tên malware: W32.FialaYA.Worm

 Thuộc họ: W32.Fiala.Worm

 Xuất xứ: Trung Quốc

 Mức độ phá hoại: Cao

Nguy cơ:

 Bị ăn cắp mật khẩu tài khoản Game Online

 Bị Hacker chiếm quyền điều khiển từ xa

 Sửa registry

 Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác

 Không hiện được các file có thuộc tính ẩn

 Hiện các popup quảng cáo gây khó chịu

 Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không

sử dụng được

 Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được)

Trang 5

 Giả mạo Gateway để phát tán link độc có chứa virus

 Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%

 Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa

 Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động

Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,

360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,

IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,

Định dạng
Số trang	5
Dung lượng	140,69 KB