Cách thức lây nhiễm: Phát tán qua trang web.. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại... Mô tả kỹ thuật: Sửa giá tr
Trang 1Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VbsMulu.Worm, W32.AmvaX.Worm, W32.AmvaXDll1.Worm, W32.AmvaXDll2.Worm, W32.KavoXZ.Worm, W32.KavoXZDll1.Worm
Bkav1602 (12/04/2008) cập nhật lần thứ 1: SecretL, RBotH
Malware cập nhật mới nhất:
Tên malware: W32.SecretL.Worm
Thuộc họ: W32.Secret.Worm
Loại: Worm
Ngày phát hiện mẫu: 11/04/2008
Kích thước: 109Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Trang 2Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Sửa giá trị
“Userinit” và "Shell"
của key HKLM\ \Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và
"Userinit.exe" vào thư mục %WinDir%
Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào
ổ USB để phát tán
Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :
%WinDir%\kdcoms.dll
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.DownloaderIA.Trojan, W32.VundoZA.Trojan, W32.VundoZB.Trojan, W32.AmvoGA.Worm,
W32.AmvoGB.Worm, W32.ErrCleanBA.Adware, W32.Ekmogen.Worm, W32.Lotus.Worm, W32.LotusB.Worm, W32.Pigeon.Adware,
W32.ZhiDaoG.Worm
Bkav1605 - Phát hành lần thứ 2 ngày 14/04/2008, cập nhật FraudToolC,
XpUpdaterD, CinmusAP, Glock, HBKer, RankyH, SdBotAB
Malware cập nhật mới nhất:
Tên malware: W32.BraviaQ.Trojan
Thuộc họ: W32.Bravia.Trojan
Loại:Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 14/04/2008
Kích thước: 16.5 Kb
Trang 3Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Ngăn cản người dùng không chạy được các chương trình diệt virus như: Norton Antivirus, Nod32, và các chương trình firewall
Tự động download virus về máy người sử dụng
Hiện thông báo giả đánh lừa người sử dụng:
Your computer is infected!
Windows has detected spyware infection!
It is recomended to use special antispyware tools to pervent data loss
Windows will now download and install the most up-to-date antispyware for you
Click here to protect your computer from spyware!
Cách thức lây nhiễm:
Phát tán qua các trang web
Do virus khác download về
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại
Mô tả kỹ thuật:
Tạo mutex {43278 4632} kiểm tra chỉ có một phiên bản của virus chạy trên máy
Ghi file: %system%\univrs32.dat ( được phát hiện là virus BraviaD )
Ghi các key làm giảm mức độ anh ninh của hệ thống:
Trang 4HKLM\ \Microsoft\Security Center và HKCU\ \Microsoft\Security Center với các giá trị
AntiVirusDisableNotify = 0x01
FirewallDisableNotify = 0x01
UpdatesDisableNotify = 0x01
AntiVirusDisableNotify = 0x01
FirewallDisableNotify =0x01
HKCU\ \Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = 0x00
HKCU\ \WindowsFirewall\StandardProfile
EnableFirewall = 0x00
HKLM\ \CurrentVersion\Internet Settings\Zones\X name= "Y" data="IP address" ;
trong đó : X=0;1;2;3;4 và Y=1200;1201;1208;1608;1804;2500;
để thiết lập chế độ local ip cho một số IP qua đó làm giảm mức độ kiểm soát
an ninh với các IP này
Hiện thông báo giả: "Your computer is infected!"
Đóng các process của các chương trình phát hiện virus, rootkit và spyware: kmd.exe, winavxx.exe, bolenjx.exe, bolenja.exe, rootkit_detektive.exe,
autoruns.exe, vundofix.exe, trjscan.exe, tpsrv.exe, thguard.exe, symwsc.exe, superantispyware.exe, spyblock.dll, spbbcsvc.exe, sndsrvc.exe, sndmon.exe, sdtrayapp.exe, sbserv.exe, pskmssvc.exe, psimsvc.exe, pshost.exe, psctrls.exe, pifsvc.exe, pavsrv51.exe, pavprsrv.exe, lucoms~1.exe, lsetup.exe, ccsvchst.exe, ccproxy.exe, avengine.exe, avciman.exe, ashwebsv.exe, ashserv.exe,
ashmaisv.exe, apvxdwin.exe, appsvc32.exe, aluschedulersvc.exe, gmer.exe, killbox.exe, avgupsvc.exe, avgamsvr.exe, avgw.exe, avgcc.exe, msmpeng.exe, printer.exe, svcntaux.exe, swdsvc.exe, avgas.exe, symlcsvc.exe, fwservice.exe, prevxcsi.exe, navilog, navapsvc.exe, globkill.exe, dss.exe, procmast.exe,
combo.exe, defwatch.exe, ccsetmgr.exe, ccpwdsvc.exe, sdfix.exe,
zcomservice.exe, zcodec.exe, zclient.exe, pywaredetector.exe, spybotsd.exe, spybot.exe, savscan.exe, sandboxieserver.exe, rtvscan.exe, pboptions.exe
Ẩn file với tên bravia.exe, csrss.exe,
Chuyên viên phân tích : Phan Đình Phúc
Trang 5Bkav 1610 - Phát hành lần thứ 2 ngày 17/04/2008, cập nhật BlockReB, HackerOnlineT, AgentProx, PakesD, QhostA, StartPageH, BlockReA Malware cập nhật mới nhất:
Tên malware: W32.QhostA.Trojan
Thuộc họ: W32.Qhost.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 17/04/2008
Kích thước: 83 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Không cho người sử dụng truy cập vào các trang web: mcafee.com,
kaspersky.com, avast.com
Cách thức lây nhiễm:
Phát tán qua các trang web
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại, phần mềm miễn phí
Mô tả kỹ thuật:
Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để khởi động mỗi khi bật máy [HKLM\ \Windows\CurrentVersion\Run]
"Microsoft Internet Explorer" = "%SysDir%\iexplore.exe"
Dump ra các file
Trang 6%SysDir%\%random_name%.exe được phát hiện là QhostADmp Sửa file host để ngăn không cho người dùng truy nhập vào các trang:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
Trang 7127.0.0.1 www.kaspersky-labs.com 127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 vncsvr.com
Trang 8127.0.0.1 secdreg.org
127.0.0.1 virusscan.jotti.org
127.0.0.1 virustotal.com
127.0.0.1 dnl-eu12.kaspersky-labs.com 127.0.0.1 dnl-eu13.kaspersky-labs.com 127.0.0.1 dnl-cd1.kaspersky-labs.com 127.0.0.1 dnl-ru1.kaspersky-labs.com 127.0.0.1 dnl-ru2.kaspersky-labs.com 127.0.0.1 dnl-ru5.kaspersky-labs.com 127.0.0.1 dnl-cn1.kaspersky-labs.com