Bách Khoa Antivirus-Đặc Điểm Các Virus part 10 ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (135.12 KB, 5 trang )
Bị Hacker chiếm quyền điều khiển từ xa.
Hiện tượng:
Sửa registry.
Không sử dụng được một số chương trình Antivirus, một vài tiện ích
của Windows và một vài chương trình khác.
Không hiện được các file có thuộc tính ẩn.
Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và
không sử dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào
thư mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf
vào tất cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell"
trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows
khởi động.
Ghi key debugger để chạy file của virus thay vì chạy các file :
360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE,
CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp,
KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE,
KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE,
Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE,
VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE,
RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe,
UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe,
VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp,
kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE,
RAVMON.EXE, RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec
AntiVirus, Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ
thống.
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
([removed]/index.gif, )
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường
24. Bkav 1938 - Phát hành lần thứ 2 ngày 11/10/2008, cập nhật SecretTL,
FakeRasA, IEBHOD, SchedC, StupiGamesSF, AmvooA
Malware cập nhật mới nhất:
Tên malware: W32.SecretTL.Worm
Thuộc họ:W32.Secret.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 11/10/2008
Kích thước: 81 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Lấy cắp thông tin cá nhân.
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm qua USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại.
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Tự copy bản thân thành các file :
%WINDIR %\userinit.exe
%SYSDIR%\system.exe
Tạo key:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"=Reg_SZ"%WINDIR%\userinit.exe"
để virus chạy lúc khởi động máy.
Ghi lại quá trình gõ phím của người sử dụng (keylog) vào file
%WINDIR%\kdcoms.dll.
Copy bản thân thành file có tên : "secret.exe" kèm theo file
autorun.inf vào các ổ đĩa.
Chuyên viên phân tích : Cao Minh Phương
25. Bkav1950 - Phát hành lần thứ 2 ngày 17/10/2008, cập nhật Pharoh,
YurFake, KxvoMJ, Rnet3XD, SpyBotAE, OnGameJBF
Malware cập nhật mới nhất:
Tên malware: W32.Pharoh.PE
Thuộc họ: W32.Pharoh.PE
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 17/10/2008
Kích thước: 151Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hỏng các file thực thi của hệ thống.
Hiện tượng:
Sửa registry.
Không hiện được các file có thuộc tính ẩn.
Kích thước các file thực thi bị tăng lên.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Phát tán qua email.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Không mở các email lạ, không rõ nguồn gốc.
Mô tả kỹ thuật:
Copy bản thân thành các file sau:
%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
Tạo file %SystemDrive%\Documents and Settings\tazebama.dll
Tạo các file sau:
%SystemDrive%\Documents and Settings\[USER NAME]\Application
Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application
Data\tazebama\zPharaoh.dat
Thu thập các địa chỉ email trong máy tính và gửi kèm bản thân thành
các file đính kèm theo email dưới những tên sau:
windows.rar
office_crack.rar
serials.rar
passwords.rar
windows_secrets.rar
source.rar
imp_data.rar
documents_backup.rar
backup.rar
MyDocuments.rar
HpphmfUppmcbsOpujgjfs/fyf
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe
Tao các file sau vào thư mục gốc các ổ đĩa
zPharaoh.exe
autorun.inf
Copy vào thư mục %UserProfile%\Local Settings\Application
Data\Microsoft\CD Burning 2 file:
zPharaoh.exe
autorun.inf
để khi ghi đĩa sẽ kèm theo worm.
Lây nhiễm vào các file thực thi có trong hệ thống.
Có thể mã hóa các file có phần mở rộng sau :
.cpp
.mdb
.hpl
.rar
Chuyên viên phân tích : Nguyễn Ngọc Dũng
