HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Ghi các key HKLM\...\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = "0" k
Trang 1HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Ghi các key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = "0" không cho hiện file ẩn
HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" =
"0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa
Tắt các cửa sổ cảnh báo của chương trình Kaspersky
Tắt process của các chương trình diệt virus KAV
Tiêm mã độc vào process : explorer.exe
Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan
Chuyên viên phân tích : Ngô Quốc Hoàn
Một số malware đáng chú ý cập nhật cùng ngày: W32.DashferET.PE,
W32.Zelantine.Trojan, W32.BraveSentryE.Worm, W32.DropperHK.Worm, W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm,
W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware,
W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm, W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm
Bkav1599 (10/04/2008) cập nhật lần thứ 2: Svchot, Spyde
Malware cập nhật mới nhất:
Tên malware: W32.Spyde.Worm
Thuộc họ: W32.Spyde.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 10/04/2008
Trang 2Kích thước: 20Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Windows title của ie bị đổi thành : Hacked by Spiderman~~!!! (2007-June-10) Thay đổi các link trong favorites của ie
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa
Mô tả kỹ thuật:
Ghi giá trị
“MicrosoftComboBoxControl”=”C:\Windows\comboClt.ocx.vbs”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "comboClt.ocx.vbs" vào thư mục
%WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa
Đặt lại windows title của ie thành : Hacked by Spiderman~~!!! (2007-June-10) Thay đổi các linh trong favorites của ie thành :
www.You were Hacked by Spiderman~~!!! (2007-June-10)
Trang 3http://You were Hacked by Spiderman~~!!! (2007-June-10)
http://www.You were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
http://www.You were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan
Bkav1600 (11/04/2008) cập nhật lần thứ 1: FakeExplorer, Ekoqo
Malware cập nhật mới nhất:
Tên malware: W32.FakeExplorer.Worm
Thuộc họ: W32.FakeExplorer.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 10/04/2008
Trang 4Kích thước: 20 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Cài thêm virus/spyware vào hệ thống
Hiện tượng:
Không chạy được các chương trình Anti Virus, các chương trình hệ thống Cách thức lây nhiễm:
Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
Lây nhiễm qua các virus khác download về máy
Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
Không nên mở các file đính kèm có phần mở rông exe, com, pif
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file
Mô tả kỹ thuật:
Ghi giá trị:
IEXPLORER=%System%\iexplorer.exe vào key HKLM\ \Run
DisableTaskMgr=1vào key HKCU\ \Policies\System
Tạo ra các files:
Trang 5%System%\iexplorer.exe (bản sao của virus)
%System%\wuauc1t.exe (bản sao của virus)
c:\explorer.exe (bản sao của virus)
Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf để tự chạy virus
Ghi thêm các giá trị vào key HKLM\SOFTWARE\ \Image File Execution Options, ngăn không cho các chương trình sau chạy:
360rpt.EXE
360safe.EXE
360tray.EXE
ANTIARP.exe
Ast.EXE
AutoRunKiller.exe
AvMonitor.EXE
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
IceSword.EXE
Iparmor.EXE
KASARP.exe
KRegEx.EXE
KVMonxp.kxp
KVSrvXP.EXE
KVWSC.EXE
Trang 6Mmsk.EXE
Navapsvc.EXE
Nod32kui.EXE
Regedit.EXE
VPC32.exe
VPTRAY.exe
WOPTILITIES.EXE
Wuauclt.EXE
Kết nối đến trang http://2.troj[Removed]8.com/dd để cập nhật danh sách và download các virus khác về máy
Tạo các mutex để chỉ chạy một bản sao của virus:
B_ZX
B_MH
B_DH
52D77ECE7B32424dB93B9A6EFBDDB0DF
Chuyên viên phân tích : Cao Minh Phương
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan
Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX
Malware cập nhật mới nhất:
Tên malware: W32.FlashyC.Worm
Trang 7Thuộc họ: W32.Flashy.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 11/04/2008
Kích thước: 36Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống
Hiện tượng:
Sửa registry
Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của windows : RegistryTool, TaskMgr,
Cách thức lây nhiễm:
Phát tán qua trang web
Tự động lây nhiễm vào USB
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
Ghi giá trị
“Flashy Bot”=”%SysDir%\Flashy.exe”
Vào key HKLM\ \Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir% và
%StartUp%
Trang 8Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư mục tìm được
Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy
Tắt service : SharedAccess, bật service : Telnet
Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa : d,e,f,g,h,i,j nếu tồn tại các ổ đĩa này
Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử dụng một vài tiện ích của windows : RegistryTool, TaskMgr,
Đổi mật khẩu của acc administrator thành hacked