Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường

Bkav 1938 - Phát hành lần thứ 2 ngày 11/10/2008, cập nhật SecretTL, FakeRasA,
IEBHOD, SchedC, StupiGamesSF, AmvooA
Malware cập nhật mới nhất:
Tên malware: W32.SecretTL.Worm
Thuộc họ:W32.Secret.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 11/10/2008
Kích thước: 81 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Lấy cắp thông tin cá nhân.
Hiện tượng:
Sửa registry
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm qua USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại.
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Tự copy bản thân thành các file :
%WINDIR %\userinit.exe
%SYSDIR%\system.exe

Tạo key:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"=Reg_SZ"%WINDIR%\userinit.exe"
để virus chạy lúc khởi động máy.
Ghi lại quá trình gõ phím của người sử dụng (keylog) vào file
%WINDIR%\kdcoms.dll.
Copy bản thân thành file có tên : "secret.exe" kèm theo file autorun.inf vào
các ổ đĩa.
Chuyên viên phân tích : Cao Minh Phương

Bkav1950 - Phát hành lần thứ 2 ngày 17/10/2008, cập nhật Pharoh, YurFake,
KxvoMJ, Rnet3XD, SpyBotAE, OnGameJBF
Malware cập nhật mới nhất:
Tên malware: W32.Pharoh.PE
Thuộc họ: W32.Pharoh.PE
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 17/10/2008
Kích thước: 151Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hỏng các file thực thi của hệ thống.
Hiện tượng:
Sửa registry.
Không hiện được các file có thuộc tính ẩn.
Kích thước các file thực thi bị tăng lên.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Phát tán qua email.

Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Không mở các email lạ, không rõ nguồn gốc.
Mô tả kỹ thuật:
Copy bản thân thành các file sau:
%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
Tạo file %SystemDrive%\Documents and Settings\tazebama.dll
Tạo các file sau:
%SystemDrive%\Documents and Settings\[USER NAME]\Application
Data\tazebama\tazebama.log
%SystemDrive%\Documents and Settings\[USER NAME]\Application
Data\tazebama\zPharaoh.dat
Thu thập các địa chỉ email trong máy tính và gửi kèm bản thân thành các file
đính kèm theo email dưới những tên sau:
windows.rar
office_crack.rar
serials.rar
passwords.rar
windows_secrets.rar
source.rar
imp_data.rar
documents_backup.rar
backup.rar
MyDocuments.rar
HpphmfUppmcbsOpujgjfs/fyf
GoogleToolbarNotifier.exe

PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
Windows Keys Secrets.exe

Tao các file sau vào thư mục gốc các ổ đĩa
zPharaoh.exe
autorun.inf
Copy vào thư mục %UserProfile%\Local Settings\Application
Data\Microsoft\CD Burning 2 file:
zPharaoh.exe
autorun.inf
để khi ghi đĩa sẽ kèm theo worm.
Lây nhiễm vào các file thực thi có trong hệ thống.
Có thể mã hóa các file có phần mở rộng sau :
.cpp
.mdb
.hpl
.pdf
.rar

Chuyên viên phân tích : Nguyễn Ngọc Dũng


Bkav1949 (17/10/2008) cập nhật lần thứ 1: WhBoyFB, RestDot

Malware cập nhật mới nhất:

Tên malware: W32.YMdcVB.Worm
Thuộc họ: W32.YMdcVB.Worm
Loại: worm
Xuất Xứ : Việt Nam
Ngày phát hiện mẫu: 16/10/2008
Kích thước: 172Kb
Mức độ phá hoại: Trung bình.
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Tự động gửi tin nhắn qua Yahoo Messenger
Cách thức lây nhiễm:
Phát tán qua các tài nguyên chia sẻ mạng nội bộ.
Phát tán qua trang web độc hại.
Phát tán qua Yahoo Messenger
Cách phòng tránh:
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password
truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại.
Không kick vào các link lạ được gửi qua Yahoo Messenger!
Mô tả kỹ thuật:
Tạo bản sao tại địa chỉ:
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\system\Fun.exe
%System%\config\Win.exe
%System%\WinSit.exe
%Windir%\dc.exe

%Windir%\SVIQ.EXE
Tự động gửi tin nhắn tới các nick trong danh sách với nội dung :
"[http://]dungcoivb.googlepages.com/[REMOVED]
Olalala, may tinh cua ban da dinh Worm DungCoi "
Ghi các Key sau để Worm có thể được kích hoạt mỗi khi khởi động hệ thống
:
HKCU\ \CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE"
HKCU\ \CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe"
HKCU\ \CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe"
HKCU\ \Windows NT\CurrentVersion\Windows\"run" =
"C:\WINDOWS\system32\config\Win.exe"
HKLM\ \Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe
C:\WINDOWS\system32\WinSit.exe"
HKCU\ \Windows NT\CurrentVersion\Windows\"load" =
"C:\WINDOWS\inf\Other.exe"
Chuyên viên phân tích: Ngô Quốc Hoàn

Bkav1947 (16/10/2008) cập nhật lần thứ 1: FlashyK, WhBoyJF

Malware cập nhật mới nhất:
Tên malware: W32.FakeAntiXPB.Spyware
Thuộc họ: W32.FakeAntivirus
Loại: Spyware
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 15/10/2008
Kích thước: 111 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Lấy cắp và gửi thông tin cá nhân ra bên ngoài.

Hiện tượng:
Sửa registry.
Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và
yêu cầu đăng kí sử dụng, cập nhật
Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning!
Spyware detected on your computer. Install an antivirus or spyware remover
to clean your computer!"
Máy tính bị chậm đi
Xuất hiện screensaver có dạng màn hình dump chuẩn của windows khi máy
để khoảng 10 phút mà không sử dụng
Cách thức lây nhiễm:
Do malware khác download về
Cách phòng tránh:
Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi
.exe .com .pif và .bat.
Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger.
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password
truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Mô tả kỹ thuật: