Tải bản đầy đủ (.pdf) (5 trang)

Bách Khoa Antivirus-Đặc Điểm Các Virus part 30 ppsx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (140.44 KB, 5 trang )

Cách thức lây nhiễm:
 Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
 Lây nhiễm qua các virus khác download về máy
 Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
 Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào
ổ đĩa.
 Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
 Ghi giá trị:
o “Windws Servces Agents”=”%System%\[random].exe”vào key
HKLM\ \Run
o "ImagePath" =
”%System%\[random].exe”HKEY_LOCAL_MACHINE\SYSTEM\
\Services\Windws Servces Agents
 Tạo ra các files:
o %ProgramFiles%\Common Files\Microsoft
Shared\MSInfo\[random].exe (bản sao của virus)
o %System%\[random].exe (bản sao của virus)
 Chèn mã độc của nó vào các processes:
o iexplore.exe
o svchost.exe
 Copy bản thân vào ổ USB, ổ mạng với tên [random].exe, tạo file Autorun.inf
để chạy virus mỗi khi dùng các ổ này.
 Bật tính năng Autorun của Windows, không cho hiện các file ẩn.
 Không cho thay đổi trang chủ của Internet Explorer
Chuyên viên phân tích : Cao Minh Phương


Bkav2060 (18/12/2008) cập nhật lần thứ 1: FialaLZ, MixaIO
Malware cập nhật mới nhất:
 Tên malware: W32.MixaIO.Worm
 Thuộc họ: W32Mixa.Worm
 Loại: Worm
 Xuất xứ: Việt Nam
 Ngày phát hiện mẫu: 17/12/2008
 Kích thước: 4312Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Sửa registry.
 Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: TaskMgr,
RegistryTool,
 Không hiển thị được file ẩn và file hệ thống.
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
 Ghi giá trị
"Userinit " = %SysDir%\systemio.exe
vào key HKLM\ \CurrentVersion\Winlogon\
và Virus=%WinDir%\Mixa.exe
Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi
Windows khởi động

 Copy bản thân thành các file :
%SysDir%\systemio.exe
%WinDir%\Mixa.exe
 Liên tục check các process, nếu thấy process có chứa 1 trong các xâu :
taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng và LogOff máy
tính.
 Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào
tất cả các ổ đĩa.
 Liên tục ghi key làm người dùng không hiện được các file ẩn và file hệ
thống.
Chuyên viên phân tích : Phan Đình Phúc
Một số malware đáng chú ý cập nhật cùng ngày: W32.Bulla.Worm,
W32.FakeExpJ.Trojan, W32.FialaLZ.Worm, W32.FtpPatch.Trojan,
W32.Svcrin.Trojan, W32.GeminiSVC.Worm, W32.ProAntispy.Spyware,
W32.RapidAntiC.Adware, W32.RevoSO.Worm



Bkav2061 (18/12/2008) cập nhật lần thứ 2: FialaOB, CimusHI
Malware cập nhật mới nhất:
 Tên malware: W32.FialaOB.Worm
 Thuộc họ: W32.Fiala.Worm
 Loại: Worm
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 17/12/2008
 Kích thước: 15Kb
 Mức độ phá hoại: Cao
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
 Bị ăn cắp mật khẩu tài khoản Game Online.

 Bị Hacker chiếm quyền điều khiển từ xa.
Hiện tượng:
 Sửa registry.
 Không sử dụng được một số chương trình Antivirus, một vài tiện ích của
Windows và một vài chương trình khác.
 Không hiện được các file có thuộc tính ẩn.
 Hiện các popup quảng cáo gây khó chịu.
 Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không
sử dụng được.
 Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
 Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
 Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
 Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư
mục %SysDir%
 Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào
tất cả các ổ đĩa.
 Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong
key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi
động.
 Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,
360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,
IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,

Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
 Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe,
TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
 Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus,
Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
 Xóa key không cho người dùng khởi động vào chế độ Safe mode
 Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.
 Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
 Download malware từ các link :
http://xni[removed]i.com/1.exe

http://xni[removed]i.com/10.exe
 Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
([removed]/index.gif, )
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.ADSviru.Trojan,
W32.NovaGameL.Trojan, W32.SpeOngameAC.Trojan, W32.KavoDPOIE.Worm,
W32.ReaderDPV.Trojan, W32.Pwalker.Worm, W32.CimusHJ.Rootkit,

W32.Glowar.Worm


Bkav2062 - Phát hành lần thứ 1 ngày 19/12/2008, cập nhật
Downer, FialaOC, AlitaoD, AmvoDTQC, SecretDTLP
Malware cập nhật mới nhất:
 Tên malware: W32.AmvoDTQC.Worm
 Thuộc họ: W32.Amvo.Worm
 Loại: Worm
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 18/12/2008
 Kích thước:108Kb
 Mức độ phá hoại: Cao

×