1. Bkav1596 (09/04/2008) cập nhật lần thứ 1: SocksF, AutorunDM
Malware cập nhật mới nhất:
Tên malware: W32.AutorunDM.Worm
Thuộc họ: W32.Autorun.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 08/04/2008
Kích thước: 56.5 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Lấy cắp thông tin cá nhân.
Làm giảm mức độ an ninh của hệ thống.
Cài thêm virus khác vào hệ thống.
Hiện tượng:
Sửa registry.
Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows
Bật các popup quảng cáo từ trang [removed].com
Tự động download các trojan về máy
Xóa bản thân sau khi chạy
Cách thức lây nhiễm:
Phát tán qua USB, các ổ đĩa chia sẻ
Cách phòng tránh:
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có
đuôi .exe .com .pif và .bat.
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép
vào ổ đĩa.
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Không nên vào các trang web cung cấp các phần mềm crack, hack, các
trang web đen, độc hại
Mô tả kỹ thuật:
Tạo ra các bản sao của nó:
o %Program Files%\meex.exe
o %Program Files%\Common Files\Microsoft Shared\hopjuhc.exe
o %Program Files%\Common Files\System\jbmnovh.exe
Tắt chương trình Kaspersky AntiVirus
Xóa key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVP"
không cho KAV chạy khi hệ thống khởi động.
Ghi giá trị:
o lgdlwuc="%Program Files%\Common Files\Microsoft
Shared\hopjuhc.exe" vào key
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc
hệ thống khởi động.
o nuydgvu ="%Program Files%\Common Files\System\jbmnovh.exe" vào
key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus
lúc hệ thống khởi động.
Lây nhiễm qua các ổ USB, ổ mạng:
o Copy bản thân vào các ổ với tên "nuydgvu.exe", tạo file autorun.inf để chạy
mỗi khi mở ổ đó ra
Tải về máy file text chứa link down các trojan khác từ trang :
o e[removed]b.com/ReadDown.txt
Bật các popup quảng cáo từ trang [removed].com
Ghi giá trị "Debugger" = "%Program Files%\Common Files\Microsoft
Shared\hopjuhc.exe" vào các key HKLM\ \CurrentVersion\Image File Execution
Options\<tên file> để chạy file virus thay vì chạy các file :
o Ras.exe
o avp.com
o avp.exe
o runiep.exe
o PFW.exe
o FYFireWall.exe
o rfwmain.exe
o rfwsrv.exe
o KAVPF.exe
o KPFW32.exe
o
Chuyên viên phân tích : Nguyễn Quốc Nhân
Một số malware đáng chú ý cập nhật cùng ngày: W32.SoundMan.Worm,
W32.PopDownC.Worm, W32.TTC.Adware, W32.DownloaderQC.Worm,
W32.KavoQE.Worm, W32.DashferES.PE, W32.IEMonitorA.Spyware,
W32.SocksF.Worm, W32.BraviaxHqB.Worm, W32.OnGamesDF.Trojan,
W32.WinsysDropA.Trojan, W32.ZlobST.Adware, W32.007Spysoft.Trojan,
W32.CimusL.Rootkit, W32.CimusO.Rootkit
2. Bkav1594 (08/04/2008) cập nhật lần thứ 2: AutoVbsC, KavoXW
Malware cập nhật mới nhất:
Tên malware: W32.AutoVbsC.Worm
Thuộc họ: W32.AutoVbs.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 08/04/2008
Kích thước: 10Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các
trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Ghi giá trị
%ComputerName%=”C:\Windows\.vbe”
Vào key HKLM\software\microsoft\windows\currentversion\policies\explorer\run
để virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên ".vbe" vào thư mục %WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa.
Ghi key không cho người dùng hiện các file có thuộc tính ẩn.
Ghi các giá trị : "til", "tjs", "djs", "ded", "atd", "dna"
trong key HKLM\ \windows\currentversion\policies\explorer lưu các thông tin
của worm.
Sau 3 ngày tính từ lần chạy đầu tiên : bật service "task scheduler"
Kiểm tra version của Script hiện tại đang chạy, nếu khác version của worm
thì tiến hành gỡ bỏ và xóa file của script đó.
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AutoVbsD.Worm,
W32.DownlodAdware.Trojan, W32.KavoXW.Worm, W32.OnGameQA.Trojan,
W32.OnGameQB.Trojan, W32.OnGameQC.Trojan, W32.OnGameQD.Trojan
3. Bkav1597 (09/04/2008) cập nhật lần thứ 2: CTfino, RankyG
Malware cập nhật mới nhất:
Tên malware: W32.DownlodAdware.Trojan
Thuộc họ: W32.Downloader.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 09/04/2008
Kích thước: 45 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Tự động download virus về máy người dùng .
Hiện pop up các trang quảng cáo
Cách thức lây nhiễm:
Phát tán qua các trang web.
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại, phần mềm miễn phí.
Mô tả kỹ thuật:
Copy bản thân vào các file:
o %WinDir%\mrofuni.exe
o %WinDir%\tsitra.exe
Ghi key run:
o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
runner1 = "%Windows%\tsitra.exe"
o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
runner1 = "%Windows%\mrofinu.exe"
Download virus từ địa chỉ: http:// o.com/retadpu.php về máy người dùng.
Chuyên viên phân tích : Tô Đình Hiệp
4. Bkav1598 (10/04/2008) cập nhật lần thứ 1: KavoPcn, PeedJ
Malware cập nhật mới nhất:
Tên malware: W32.KavoPcn.Worm
Thuộc họ: W32.Kavo.Worm
Loại: Worm
Xuất xứ : Trung Quốc
Ngày phát hiện mẫu: 09/04/2008
Kích thước: 117Kb
Mức độ phá hoại: Trung bình
Nguy cơ: