Bách Khoa Antivirus-Đặc Điểm Các Virus part 34 docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (110 KB, 8 trang )
Bkav1596 (09/04/2008) cập nhật lần thứ 1: SocksF, AutorunDM
Malware cập nhật mới nhất:
Tên malware: W32.AutorunDM.Worm
Thuộc họ: W32.Autorun.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 08/04/2008
Kích thước: 56.5 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Lấy cắp thông tin cá nhân.
Làm giảm mức độ an ninh của hệ thống.
Cài thêm virus khác vào hệ thống.
Hiện tượng:
Sửa registry.
Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows
Bật các popup quảng cáo từ trang [removed].com
Tự động download các trojan về máy
Xóa bản thân sau khi chạy
Cách thức lây nhiễm:
Phát tán qua USB, các ổ đĩa chia sẻ
Cách phòng tránh:
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi
.exe .com .pif và .bat.
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ
đĩa.
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password
truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Mô tả kỹ thuật:
Tạo ra các bản sao của nó:
%Program Files%\meex.exe
%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe
%Program Files%\Common Files\System\jbmnovh.exe
Tắt chương trình Kaspersky AntiVirus
Xóa key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVP"
không cho KAV chạy khi hệ thống khởi động.
Ghi giá trị:
lgdlwuc="%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe"
vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để
chạy virus lúc hệ thống khởi động.
nuydgvu ="%Program Files%\Common Files\System\jbmnovh.exe" vào key
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus
lúc hệ thống khởi động.
Lây nhiễm qua các ổ USB, ổ mạng:
Copy bản thân vào các ổ với tên "nuydgvu.exe", tạo file autorun.inf để chạy
mỗi khi mở ổ đó ra
Tải về máy file text chứa link down các trojan khác từ trang :
e[removed]b.com/ReadDown.txt
Bật các popup quảng cáo từ trang [removed].com
Ghi giá trị "Debugger" = "%Program Files%\Common Files\Microsoft
Shared\hopjuhc.exe" vào các key HKLM\ \CurrentVersion\Image File
Execution Options\<tên file> để chạy file virus thay vì chạy các file :
Ras.exe
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
Chuyên viên phân tích : Nguyễn Quốc Nhân
Một số malware đáng chú ý cập nhật cùng ngày: W32.SoundMan.Worm,
W32.PopDownC.Worm, W32.TTC.Adware, W32.DownloaderQC.Worm,
W32.KavoQE.Worm, W32.DashferES.PE, W32.IEMonitorA.Spyware,
W32.SocksF.Worm, W32.BraviaxHqB.Worm, W32.OnGamesDF.Trojan,
W32.WinsysDropA.Trojan, W32.ZlobST.Adware, W32.007Spysoft.Trojan,
W32.CimusL.Rootkit, W32.CimusO.Rootkit
Bkav1594 (08/04/2008) cập nhật lần thứ 2: AutoVbsC, KavoXW
Malware cập nhật mới nhất:
Tên malware: W32.AutoVbsC.Worm
Thuộc họ: W32.AutoVbs.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 08/04/2008
Kích thước: 10Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Ghi giá trị
%ComputerName%=”C:\Windows\.vbe”
Vào key
HKLM\software\microsoft\windows\currentversion\policies\explorer\run để
virus được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên ".vbe" vào thư mục %WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa.
Ghi key không cho người dùng hiện các file có thuộc tính ẩn.
Ghi các giá trị : "til", "tjs", "djs", "ded", "atd", "dna"
trong key HKLM\ \windows\currentversion\policies\explorer lưu các thông
tin của worm.
Sau 3 ngày tính từ lần chạy đầu tiên : bật service "task scheduler"
Kiểm tra version của Script hiện tại đang chạy, nếu khác version của worm
thì tiến hành gỡ bỏ và xóa file của script đó.
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AutoVbsD.Worm,
W32.DownlodAdware.Trojan, W32.KavoXW.Worm,
W32.OnGameQA.Trojan, W32.OnGameQB.Trojan,
W32.OnGameQC.Trojan, W32.OnGameQD.Trojan
Bkav1597 (09/04/2008) cập nhật lần thứ 2: CTfino, RankyG
Malware cập nhật mới nhất:
Tên malware: W32.DownlodAdware.Trojan
Thuộc họ: W32.Downloader.Trojan
Loại: Trojan
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 09/04/2008
Kích thước: 45 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Tự động download virus về máy người dùng .
Hiện pop up các trang quảng cáo
Cách thức lây nhiễm:
Phát tán qua các trang web.
Cách phòng tránh:
Không nên truy cập vào các trang web độc hại, phần mềm miễn phí.
Mô tả kỹ thuật:
Copy bản thân vào các file:
%WinDir%\mrofuni.exe
%WinDir%\tsitra.exe
Ghi key run:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
runner1 = "%Windows%\tsitra.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
runner1 = "%Windows%\mrofinu.exe"
Download virus từ địa chỉ: http:// o.com/retadpu.php về máy người dùng.
Chuyên viên phân tích : Tô Đình Hiệp
Bkav1598 (10/04/2008) cập nhật lần thứ 1: KavoPcn, PeedJ
Malware cập nhật mới nhất:
Tên malware: W32.KavoPcn.Worm
Thuộc họ: W32.Kavo.Worm
Loại: Worm
Xuất xứ : Trung Quốc
Ngày phát hiện mẫu: 09/04/2008
Kích thước: 117Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Không hiện được các file có thuộc tính ẩn.
Ngăn cản người dùng sử dụng các chương trình diệt virus.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "kavo.exe" vào thư mục %SysDir%.
Tạo ra các files:
%SysDir%\kavo0.dll
%SysDir%\kavo1.dll
%TempDir%\mnnxju.dll
%TempDir%\fbwi.dll
Ghi giá trị
“Kava”=”C:\WINDOWS\system32\kavo.exe”
Vào key
