o Nod32kui.EXE
o Regedit.EXE
o VPC32.exe
o VPTRAY.exe
o WOPTILITIES.EXE
o Wuauclt.EXE
 Kết nối đến trang j[Removed]8.com/dd để cập nhật danh
sách và download các virus khác về máy
 Tạo các mutex để chỉ chạy một bản sao của virus:
o __B_ZX
o __B_MH
o __B_DH
o 52D77ECE7B32424dB93B9A6EFBDDB0DF
Chuyên viên phân tích : Cao Minh Phương
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm,
W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm,
W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan

7. Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX
Malware cập nhật mới nhất:
 Tên malware: W32.FlashyC.Worm
 Thuộc họ: W32.Flashy.Worm
 Loại: Worm
 Xuất xứ: Nước ngoài
 Ngày phát hiện mẫu: 11/04/2008
 Kích thước: 36Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.

Hiện tượng:
 Sửa registry.
 Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của
windows : RegistryTool, TaskMgr,
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Mô tả kỹ thuật:
 Ghi giá trị
“Flashy Bot”=”%SysDir%\Flashy.exe”
Vào key HKLM\ \Windows\CurrentVersion\Run để virus được kích hoạt
mỗi khi Windows khởi động
 Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir%
và %StartUp%
 Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư
mục tìm được.
 Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy.
 Tắt service : SharedAccess, bật service : Telnet
 Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa :
d,e,f,g,h,i,j nếu tồn tại các ổ đĩa này.
 Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử
dụng một vài tiện ích của windows : RegistryTool, TaskMgr,
 Đổi mật khẩu của acc administrator thành hacked
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VbsMulu.Worm,
W32.AmvaX.Worm, W32.AmvaXDll1.Worm, W32.AmvaXDll2.Worm,
W32.KavoXZ.Worm, W32.KavoXZDll1.Worm


8. Bkav1602 (12/04/2008) cập nhật lần thứ 1: SecretL, RBotH

Malware cập nhật mới nhất:
 Tên malware: W32.SecretL.Worm
 Thuộc họ: W32.Secret.Worm
 Loại: Worm
 Ngày phát hiện mẫu: 11/04/2008
 Kích thước: 109Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Sửa registry.
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
 Sửa giá trị
“Userinit” và "Shell"
của key HKLM\ \Windows NT\CurrentVersion\Winlogon để virus được
kích hoạt mỗi khi Windows khởi động
 Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir%
và "Userinit.exe" vào thư mục %WinDir%
 Copy bản thân thành file có tên "Secret.exe" kèm theo file
"Autorun.inf" vào ổ USB để phát tán.

 Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :
%WinDir%\kdcoms.dll
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.DownloaderIA.Trojan, W32.VundoZA.Trojan, W32.VundoZB.Trojan,
W32.AmvoGA.Worm, W32.AmvoGB.Worm, W32.ErrCleanBA.Adware,
W32.Ekmogen.Worm, W32.Lotus.Worm, W32.LotusB.Worm,
W32.Pigeon.Adware, W32.ZhiDaoG.Worm

9. Bkav1605 - Phát hành lần thứ 2 ngày 14/04/2008, cập nhật FraudToolC,
XpUpdaterD, CinmusAP, Glock, HBKer, RankyH, SdBotAB
Malware cập nhật mới nhất:
 Tên malware: W32.BraviaQ.Trojan
 Thuộc họ: W32.Bravia.Trojan
 Loại:Trojan
 Xuất xứ: Nước ngoài
 Ngày phát hiện mẫu: 14/04/2008
 Kích thước: 16.5 Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Ngăn cản người dùng không chạy được các chương trình diệt virus
như: Norton Antivirus, Nod32, và các chương trình firewall.
 Tự động download virus về máy người sử dụng.
 Hiện thông báo giả đánh lừa người sử dụng:
o Your computer is infected!
o Windows has detected spyware infection!
o It is recomended to use special antispyware tools to pervent data loss.
o Windows will now download and install the most up-to-date

antispyware for you.
o Click here to protect your computer from spyware!
Cách thức lây nhiễm:
 Phát tán qua các trang web.
 Do virus khác download về
Cách phòng tránh:
 Không nên truy cập vào các trang web độc hại.
Mô tả kỹ thuật:
 Tạo mutex {43278 4632} kiểm tra chỉ có một phiên bản của virus
chạy trên máy
 Ghi file: %system%\univrs32.dat ( được phát hiện là virus BraviaD )
 Ghi các key làm giảm mức độ anh ninh của hệ thống:
o HKLM\ \Microsoft\Security Center và HKCU\ \Microsoft\Security
Center với các giá trị
AntiVirusDisableNotify = 0x01
FirewallDisableNotify = 0x01
UpdatesDisableNotify = 0x01
AntiVirusDisableNotify = 0x01
FirewallDisableNotify =0x01
o HKCU\ \Microsoft\WindowsFirewall\DomainProfile
EnableFirewall = 0x00
HKCU\ \WindowsFirewall\StandardProfile
EnableFirewall = 0x00
o HKLM\ \CurrentVersion\Internet Settings\Zones\X name= "Y"
data="IP address" ;
trong đó : X=0;1;2;3;4 và Y=1200;1201;1208;1608;1804;2500;
để thiết lập chế độ local ip cho một số IP qua đó làm giảm mức độ kiểm soát
an ninh với các IP này
 Hiện thông báo giả: "Your computer is infected!"
 Đóng các process của các chương trình phát hiện virus, rootkit và

spyware: kmd.exe, winavxx.exe, bolenjx.exe, bolenja.exe,
rootkit_detektive.exe, autoruns.exe, vundofix.exe, trjscan.exe, tpsrv.exe,
thguard.exe, symwsc.exe, superantispyware.exe, spyblock.dll, spbbcsvc.exe,
sndsrvc.exe, sndmon.exe, sdtrayapp.exe, sbserv.exe, pskmssvc.exe,
psimsvc.exe, pshost.exe, psctrls.exe, pifsvc.exe, pavsrv51.exe, pavprsrv.exe,
lucoms~1.exe, lsetup.exe, ccsvchst.exe, ccproxy.exe, avengine.exe,
avciman.exe, ashwebsv.exe, ashserv.exe, ashmaisv.exe, apvxdwin.exe,
appsvc32.exe, aluschedulersvc.exe, gmer.exe, killbox.exe, avgupsvc.exe,
avgamsvr.exe, avgw.exe, avgcc.exe, msmpeng.exe, printer.exe,
svcntaux.exe, swdsvc.exe, avgas.exe, symlcsvc.exe, fwservice.exe,
prevxcsi.exe, navilog, navapsvc.exe, globkill.exe, dss.exe, procmast.exe,
combo.exe, defwatch.exe, ccsetmgr.exe, ccpwdsvc.exe, sdfix.exe,
zcomservice.exe, zcodec.exe, zclient.exe, pywaredetector.exe, spybotsd.exe,
spybot.exe, savscan.exe, sandboxieserver.exe, rtvscan.exe, pboptions.exe
 Ẩn file với tên bravia.exe, csrss.exe,
Chuyên viên phân tích : Phan Đình Phúc

10. Bkav 1610 - Phát hành lần thứ 2 ngày 17/04/2008, cập nhật BlockReB,
HackerOnlineT, AgentProx, PakesD, QhostA, StartPageH, BlockReA
Malware cập nhật mới nhất: