Bách Khoa Antivirus-Đặc Điểm Các Virus part 40 pps

Hiện tượng: Sửa registry Cách thức lây nhiễm: Phát tán qua trang web.. Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.. Cách thức lây nhiễm:

Trang 1

Adware (popup các trang web quảng cáo, sửa StartPage của IE),

Chuyên viên phân tích : Nguyễn Công Cường

Bkav 1938 - Phát hành lần thứ 2 ngày 11/10/2008, cập nhật SecretTL, FakeRasA,

IEBHOD, SchedC, StupiGamesSF, AmvooA

Malware cập nhật mới nhất:

Tên malware: W32.SecretTL.Worm

Thuộc họ:W32.Secret.Worm

Loại: Worm

Xuất xứ: Việt Nam

Ngày phát hiện mẫu: 11/10/2008

Kích thước: 81 Kb

Mức độ phá hoại: Trung bình

Nguy cơ:

Làm giảm mức độ an ninh của hệ thống

Lấy cắp thông tin cá nhân

Hiện tượng:

Sửa registry

Cách thức lây nhiễm:

Phát tán qua trang web

Tự động lây nhiễm qua USB

Cách phòng tránh:

Trang 2

Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại

Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa

Mô tả kỹ thuật:

Tự copy bản thân thành các file :

%WINDIR %\userinit.exe

%SYSDIR%\system.exe

Tạo key:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Userinit"=Reg_SZ"%WINDIR%\userinit.exe"

để virus chạy lúc khởi động máy

Ghi lại quá trình gõ phím của người sử dụng (keylog) vào file

%WINDIR%\kdcoms.dll

Copy bản thân thành file có tên : "secret.exe" kèm theo file autorun.inf vào các ổ đĩa

Chuyên viên phân tích : Cao Minh Phương

Bkav1950 - Phát hành lần thứ 2 ngày 17/10/2008, cập nhật Pharoh, YurFake,

KxvoMJ, Rnet3XD, SpyBotAE, OnGameJBF

Tên malware: W32.Pharoh.PE

Thuộc họ: W32.Pharoh.PE

Loại: Worm

Xuất xứ: Nước ngoài

Kích thước: 151Kb

Trang 3

Mức độ phá hoại: Cao

Nguy cơ:

Hỏng các file thực thi của hệ thống

Sửa registry

Không hiện được các file có thuộc tính ẩn

Kích thước các file thực thi bị tăng lên

Phát tán qua trang web

Tự động lây nhiễm vào USB

Phát tán qua email

Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa

Không mở các email lạ, không rõ nguồn gốc

Copy bản thân thành các file sau:

%SystemDrive%\Documents and Settings\tazebama.dl_

%SystemDrive%\Documents and Settings\hook.dl_

%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe

Tạo file %SystemDrive%\Documents and Settings\tazebama.dll

Tạo các file sau:

%SystemDrive%\Documents and Settings\[USER NAME]\Application

Data\tazebama\tazebama.log

Trang 4

%SystemDrive%\Documents and Settings\[USER NAME]\Application

Data\tazebama\zPharaoh.dat

Thu thập các địa chỉ email trong máy tính và gửi kèm bản thân thành các file đính kèm theo email dưới những tên sau:

windows.rar

office_crack.rar

serials.rar

passwords.rar

windows_secrets.rar

source.rar

imp_data.rar

documents_backup.rar

backup.rar

MyDocuments.rar

HpphmfUppmcbsOpujgjfs/fyf

GoogleToolbarNotifier.exe

PanasonicDVD_DigitalCam.exe

Antenna2Net.exe

RadioTV.exe

Microsoft MSN.exe

Sony Erikson DigitalCam.exe

IDE Conector P2P.exe

Windows Keys Secrets.exe

Tao các file sau vào thư mục gốc các ổ đĩa

zPharaoh.exe

autorun.inf

Copy vào thư mục %UserProfile%\Local Settings\Application

Data\Microsoft\CD Burning 2 file:

zPharaoh.exe

autorun.inf

để khi ghi đĩa sẽ kèm theo worm

Lây nhiễm vào các file thực thi có trong hệ thống

Có thể mã hóa các file có phần mở rộng sau :

.cpp

.mdb

Trang 5

.hpl

.pdf

.rar

Chuyên viên phân tích : Nguyễn Ngọc Dũng

Bkav1949 (17/10/2008) cập nhật lần thứ 1: WhBoyFB, RestDot

Tên malware: W32.YMdcVB.Worm

Thuộc họ: W32.YMdcVB.Worm

Loại: worm

Xuất Xứ : Việt Nam

Kích thước: 172Kb

Nguy cơ:

Sửa registry

Tự động gửi tin nhắn qua Yahoo Messenger

Phát tán qua các tài nguyên chia sẻ mạng nội bộ

Trang 6

Phát tán qua trang web độc hại

Phát tán qua Yahoo Messenger

Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file

Không kick vào các link lạ được gửi qua Yahoo Messenger!

Tạo bản sao tại địa chỉ:

%Windir%\Help\Other.exe

%Windir%\inf\Other.exe

%Windir%\system\Fun.exe

%System%\config\Win.exe

%System%\WinSit.exe

%Windir%\dc.exe

%Windir%\SVIQ.EXE

Tự động gửi tin nhắn tới các nick trong danh sách với nội dung :

"[http://]dungcoivb.googlepages.com/[REMOVED]

Olalala, may tinh cua ban da dinh Worm DungCoi "

Ghi các Key sau để Worm có thể được kích hoạt mỗi khi khởi động hệ thống :

HKCU\ \CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE" HKCU\ \CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe" HKCU\ \CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"

Trang 7

HKCU\ \Windows NT\CurrentVersion\Windows\"run" =

"C:\WINDOWS\system32\config\Win.exe"

HKLM\ \Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe"

HKCU\ \Windows NT\CurrentVersion\Windows\"load" =

"C:\WINDOWS\inf\Other.exe"

Chuyên viên phân tích: Ngô Quốc Hoàn

Bkav1947 (16/10/2008) cập nhật lần thứ 1: FlashyK, WhBoyJF

Tên malware: W32.FakeAntiXPB.Spyware

Thuộc họ: W32.FakeAntivirus

Loại: Spyware

Xuất xứ: Nước ngoài

Kích thước: 111 Kb

Nguy cơ:

Lấy cắp và gửi thông tin cá nhân ra bên ngoài

Sửa registry

Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và yêu cầu đăng kí sử dụng, cập nhật

Trang 8

Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning!

Spyware detected on your computer Install an antivirus or spyware remover

to clean your computer!"

Máy tính bị chậm đi

Xuất hiện screensaver có dạng màn hình dump chuẩn của windows khi máy

để khoảng 10 phút mà không sử dụng

Do malware khác download về

Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi exe com pif và bat

Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger

Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file

Định dạng
Số trang	8
Dung lượng	124,18 KB