Tải bản đầy đủ (.pdf) (5 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bách Khoa Antivirus-Đặc Điểm Các Virus part 7 doc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (132.54 KB, 5 trang )

 Tên malware: W32.LogoOneAH.PE
 Thuộc họ: W32.LogoOne.PE
 Loại: PE
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 19/07/2008
 Kích thước: 61Kb
 Mức độ phá hoại: Cao
Nguy cơ:
 Ăn cắp thông tin cá nhân.
 Lây file
 Làm giảm mức độ bảo mật của hệ thống.
Hiện tượng:
 Sửa registry.
 Dừng các chương trình diệt virus
 Làm chậm hệ thống.
 Mất icon của các file .exe
Cách thức lây nhiễm:
 Phát tán qua trang web, phần mềm miễn phí.
 Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
 Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file
có đuôi .exe .com .pif và .bat
 Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
 Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe
vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run để chạy
virus mỗi khi windows được khởi động


 Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.
 Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
 Drop ra file: %WinDir%\RichDll.dll
 Ghi ngày lây nhiễm vào file C:\_desktop.ini
 Lây file bằng cách ghi code virus vào trước file gốc.
 Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.
 Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các
thư mục shared
 Không lây những file đường dẫn có chứa:
• \Program Files\
• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information

• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
 Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường

16. Phát hành lần thứ 2 ngày 23/07/2008, cập nhật ZlobSetL, MutantI, ProxyG,
SecretMA, ZhelatinRB, DowlodTB
Malware cập nhật mới nhất:
 Tên malware: W32.SecretMA.Worm
 Thuộc họ: W32.Secret.Worm
 Loại: Worm
 Xuất xứ: Việt Nam
 Ngày phát hiện mẫu: 23/07/2008
 Kích thước: 109Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:

 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Sửa registry.
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
 Sửa giá trị
“Userinit” và "Shell"
của key HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows
khởi động
 Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir%
và "Userinit.exe" vào thư mục %WinDir%
 Copy bản thân thành file có tên "Secret.exe" kèm theo file
"Autorun.inf" vào ổ USB để phát tán.
 Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :
%WinDir%\kdcoms.dll
Chuyên viên phân tích : Nguyễn Công Cường

17. Bkav1788 (23/07/2008) cập nhật lần thứ 1: YMxman, AutoVbsK

Malware cập nhật mới nhất:
 Tên malware: W32.YMxman.Worm
 Thuộc họ: W32.YMxman.Worm
 Loại: Worm

 Xuất xứ : Việt Nam.
 Ngày phát hiện mẫu: 23/07/2008
 Kích thước: 202 Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
 Làm chậm máy tính.
 Gây khó chịu khi sử dụng Yahoo Messenger.
 Hacker có thể chiếm quyền điều khiển các máy tính bị nhiễm virus.
Hiện tượng:
 Registry bị thay đổi.
 Title của IE bị đổi thành : " (¯`v´¯) Welcome http://v[removed]n.vn"
 Tự động vào trang http://quy[removed]utu.com/111zzz mỗi khi bật
IE.
 Gửi các thông điệp qua cửa sổ Yahoo messenger:
" Phim pha trinh ne http://qu[removed]utu.com/parishillton/"
" SEX MOVIE HOT http://qu[removed]tu.com/parishillton/"
" Phim sex Ho Ngoc Ha ne http://qu[removed]utu.com/parishillton/"
" Phim pha trinh ne http://qu[removed]utu.com/parishillton/"
" Hoc sinh dong phim sex ne http://qu[removed]utu.com/parishillton/"
" Phim cuong hiep ne http://qu[removed]utu.com/parishillton/"
" Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/"
" Phim sex Phuong Thanh ne http://qu[removed]utu.com/parishillton/"
" Hoa hau dong phim sex ne http://qu[removed]utu.com/parishillton/"
" Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/"
Cách thức lây nhiễm:
 Phát tán qua các công cụ chat Yahoo Messenger.
Cách phòng tránh:
 Không nên mở các liên kết lạ nhận được qua Yahoo Messenger.
 Không nên vào các trang web cung cấp các phần mềm crack, hack,

các trang web đen, độc hại.
Mô tả kỹ thuật:
 Ghi giá trị
“Task Manager”=”C:\WINDOWS\taskmng.exe”
Vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
để virus được kích hoạt mỗi khi Windows khởi động
 Ghi các giá trị
"DisableTaskMgr"
"DisableRegistryTools"
Vào key
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System để
ngăn không cho người dùng sử dụng TaskManager và Registry Editor
 Copy bản thân thành các files : %WinDir%\taskmng.exe
 Ghi key đổi title của IE thành : " (¯`v´¯) Welcome
http://v[removed]n.vn".
 Đặt lại StartPage của IE thành : http://quy[removed]utu.com/111zzz
 Download file từ đường link :
http://quy[removed]tu.com/111zzz/software.exe

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×