Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Không hiện được các file có thuộc tính ẩn.
Ngăn cản người dùng sử dụng các chương trình diệt virus.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "kavo.exe" vào thư mục %SysDir%.
Tạo ra các files:
o %SysDir%\kavo0.dll
o %SysDir%\kavo1.dll
o %TempDir%\mnnxju.dll
o %TempDir%\fbwi.dll
Ghi giá trị
“Kava”=”C:\WINDOWS\system32\kavo.exe”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus
được kích hoạt mỗi khi Windows khởi động
Ghi các key
HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue"
= "0" không cho hiện file ẩn
HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" =
"0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa.
Tắt các cửa sổ cảnh báo của chương trình Kaspersky
Tắt process của các chương trình diệt virus KAV
Tiêm mã độc vào process : explorer.exe
Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ
đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan
Chuyên viên phân tích : Ngô Quốc Hoàn
Một số malware đáng chú ý cập nhật cùng ngày: W32.DashferET.PE,
W32.Zelantine.Trojan, W32.BraveSentryE.Worm, W32.DropperHK.Worm,
W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm,
W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware,
W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm,
W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm
5. Bkav1599 (10/04/2008) cập nhật lần thứ 2: Svchot, Spyde
Malware cập nhật mới nhất:
Tên malware: W32.Spyde.Worm
Thuộc họ: W32.Spyde.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 10/04/2008
Kích thước: 20Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Windows title của ie bị đổi thành : Hacked by Spiderman~~!!! (2007-
June-10)
Thay đổi các link trong favorites của ie.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Ghi giá trị
“MicrosoftComboBoxControl”=”C:\Windows\comboClt.ocx.vbs”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus
được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "comboClt.ocx.vbs" vào thư mục
%WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa.
Đặt lại windows title của ie thành : Hacked by Spiderman~~!!! (2007-
June-10)
Thay đổi các linh trong favorites của ie thành :
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm,
W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm,
W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan
6. Bkav1600 (11/04/2008) cập nhật lần thứ 1: FakeExplorer, Ekoqo
Malware cập nhật mới nhất:
Tên malware: W32.FakeExplorer.Worm
Thuộc họ: W32.FakeExplorer.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 10/04/2008
Kích thước: 20 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Cài thêm virus/spyware vào hệ thống
Hiện tượng:
Không chạy được các chương trình Anti Virus, các chương trình hệ
thống
Cách thức lây nhiễm:
Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
Lây nhiễm qua các virus khác download về máy
Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
Không nên mở các file đính kèm có phần mở rông exe, com, pif
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy
kép vào ổ đĩa.
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
Ghi giá trị:
o IEXPLORER=%System%\iexplorer.exe vào key HKLM\ \Run
o DisableTaskMgr=1vào key HKCU\ \Policies\System
Tạo ra các files:
o %System%\iexplorer.exe (bản sao của virus)
o %System%\wuauc1t.exe (bản sao của virus)
o c:\explorer.exe (bản sao của virus)
Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf
để tự chạy virus
Ghi thêm các giá trị vào key HKLM\SOFTWARE\ \Image File
Execution Options, ngăn không cho các chương trình sau chạy:
o 360rpt.EXE
o 360safe.EXE
o 360tray.EXE
o ANTIARP.exe
o Ast.EXE
o AutoRunKiller.exe
o AvMonitor.EXE
o AVP.EXE
o CCenter.EXE
o Frameworkservice.EXE
o IceSword.EXE
o Iparmor.EXE
o KASARP.exe
o KRegEx.EXE
o KVMonxp.kxp
o KVSrvXP.EXE
o KVWSC.EXE
o Mmsk.EXE
o Navapsvc.EXE