Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.. Không nên vào các trang rao bán chương trình diệt virus mà không rõ ng
Trang 1 KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE,
KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE,
Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE,
Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE,
RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe,
UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe,
VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe,
KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE,
Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc,
Symantec AntiVirus, Symantec AntiVirus Definition
Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe
mode
Ghi key không cho người dùng hiển thị các file có thuộc
tính ẩn và hệ thống
Tự động update bản thân từ link :
http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link
độc (http://w.xnibi.co[removed]/index.gif, )
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường
Bkav2075 - Phát hành lần thứ 2 ngày 27/12/2008, cập nhật
FakeAlertNT, WormDC, FakeIeY, FialaZL, Windir
Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Mất các thông tin cá nhân
Hiện tượng:
Wallpaper được thay bằng một cảnh báo virus (giả) và không thể thay đổi được
Xuất hiện các cảnh báo virus (giả) liên tục
Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả)
Cách thức lây nhiễm:
Phát tán qua trang web lừa đảo
Trang 2Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm
crack, hack, các trang web đen, độc hại
Không nên vào các trang rao bán chương trình diệt virus
mà không rõ nguồn gốc
Mô tả kỹ thuật:
Tạo bản sao của chính nó vào thư mục %SysDir%
Tạo ra file có tên ngẫu nhiên, ví dụ
%SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper,
hiển thị cảnh báo virus (giả)
Sửa giá trị của các khóa "Wallpaper",
"OriginalWallpaper" và "ConvertedWallpaper"
trong khóa "HKCU\Control Panel\Desktop" thành
"%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper
của Windows
Ghi các giá trị "lphcns0j0e1av" =
"%SysDir%\lphcns0j0e1av.exe" vào khóa
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run" để virus có thể khởi động cùng Windows
Thả ra tập tin screen saver có hình dạng màn hình xanh
chết chóc để đánh lừa cảm giác của người sử dụng
Sử dụng website www.anti-[remove]2008.net làm
homepage giả mạo
Chuyên viên phân tích : Lê Quang Hà
Phát hành lần thứ 2 ngày 31/12/2008, cập nhật
HanGu, FakeAntiDXBA, BootBNT, AmvoDJKA, TavoDJAE
Malware cập nhật mới nhất:
Nguy cơ:
Ăn cắp thông tin cá nhân
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Thay đổi registry
Cách thức lây nhiễm:
Tự động lây nhiễm vào USB
Phát tán qua các trang web độc hại
Cách phòng tránh:
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Copy chính nó thành các file sau:
o %Sysdir%\\amvo.exe
Tạo các file sau:
o %Userdir%\Local Settings\Temp\9sky8pia.dll
o %Userdir%\Local Settings\Temp\4.sys
o %Userdir%\Local Settings\Temp\help.exe
o %Sysdir%\amvo0.dll
Ghi key sau để tự động kích hoạt virus khi khởi động máy tính:
Trang 3o HKCU\ \Windows\CurrentVersion\Run\amva
Tìm các ổ đĩa cứng, usb và copy chính nó thành file
qwc.exe, ghi thêm file autorun.inf để virus lây lan
Chuyên viên phân tích: Nguyễn Công Cường
Bkav2085 - Phát hành lần thứ 1 ngày 05/01/2009, cập nhật
DriveNT, KxvoQNT, SecretHK, AutorunNT, RecylerA
Malware cập nhật mới nhất:
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm
crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng
ổ đĩa
Mô tả kỹ thuật:
Copy bản thân thành file có tên msvcrt.bak vào thư mục cài đặt Internet Explorer
Tạo ra các file:
o msvcrt.dll trong thư mục cài đặt Internet Explorer
o Relive.dll trong thư mục %CommonFiles%
Ghi giá trị:
o {0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}="" vào key:
HKLM\ \CurrentVersion\Explorer\ShellExecuteHo oks
o (Default)= "C:\Program Files\Internet Explorer\msvcrt.dll" vào key:
HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}\InProcServer32\
Tạo key:
HKLM\ \Browser Helper Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}
và ghi giá trị (Default)="%CommonFiles%\Relive.dll" vào key:
HKCR\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}\InProcServer32\
Virus tìm cách xóa các giá trị sau:
o {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
o {131AB311-16F1-F13B-1E43-11A24B51AFD1}
o {274B93C2-A6DF-485F-8576-AB0653134A76}
o {1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
o
trong key HKLM\ \Explorer\ShellExecuteHooks
Virus tìm cách xóa các file sau: smss.exe, csrss.exe, conime.exe, ctfmon.exe, stpgldk.exe, wdso.exe,
Trang 4ztso.exe, tlso.exe, rxso.exe, srogm.exe trong thư mục
%Temp%
Copy bản thân thành file Ghost.pif và tạo file autorun.inf
trong các ổ đĩa USB để virus lây lan
Chuyên viên phân tích : Lê Anh Vũ Hà
Bkav2089 - Phát hành lần thứ 2 ngày 08/01/2009, cập nhật
HirdcYX, MsdsYX, FialaUA, LogoOneJA, VundoBI
Malware cập nhật mới nhất:
Nguy cơ:
Ăn cắp thông tin cá nhân
Lây file
Làm giảm mức độ bảo mật của hệ thống
Hiện tượng:
Sửa registry
Dừng các chương trình diệt virus
Làm chậm hệ thống
Mất icon của các file exe
Cách thức lây nhiễm:
Phát tán qua trang web, phần mềm miễn phí
Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt
là các file có đuôi exe com pif và bat
Không nên share full các ổ đĩa, thư mục trong mạng nội
bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa
và tạo file
Mô tả kỹ thuật:
Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe vào key
HKLM\Software\Microsoft\Windows\CurrentVersion\Ru
n để chạy virus mỗi khi windows được khởi động
Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa
Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
Drop ra file: %WinDir%\RichDll.dll
Ghi ngày lây nhiễm vào file C:\_desktop.ini
Lây file bằng cách ghi code virus vào trước file gốc
Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y
Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared
Không lây những file đường dẫn có chứa:
• \Program Files\
Trang 5• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường