o Nod32kui.EXE o Regedit.EXE o VPC32.exe o VPTRAY.exe o WOPTILITIES.EXE o Wuauclt.EXE  Kết nối đến trang http://2.troj[Removed]8.com/dd để cập nhật danh sách và download các virus khác về máy  Tạo các mutex để chỉ chạy một bản sao của virus: o __B_ZX o __B_MH o __B_DH o 52D77ECE7B32424dB93B9A6EFBDDB0DF Chuyên viên phân tích : Cao Minh Phương Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE, W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm, W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan 7. Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX Malware cập nhật mới nhất:  Tên malware: W32.FlashyC.Worm  Thuộc họ: W32.Flashy.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 11/04/2008  Kích thước: 36Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của windows : RegistryTool, TaskMgr, Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật:  Ghi giá trị “Flashy Bot”=”%SysDir%\Flashy.exe” Vào key HKLM\ \Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir% và %StartUp%  Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư mục tìm được.  Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy.  Tắt service : SharedAccess, bật service : Telnet  Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa : d,e,f,g,h,i,j nếu tồn tại các ổ đĩa này.  Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử dụng một vài tiện ích của windows : RegistryTool, TaskMgr,  Đổi mật khẩu của acc administrator thành hacked Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.VbsMulu.Worm, W32.AmvaX.Worm, W32.AmvaXDll1.Worm, W32.AmvaXDll2.Worm, W32.KavoXZ.Worm, W32.KavoXZDll1.Worm 8. Bkav1602 (12/04/2008) cập nhật lần thứ 1: SecretL, RBotH Malware cập nhật mới nhất:  Tên malware: W32.SecretL.Worm  Thuộc họ: W32.Secret.Worm  Loại: Worm  Ngày phát hiện mẫu: 11/04/2008  Kích thước: 109Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Sửa giá trị “Userinit” và "Shell" của key HKLM\ \Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và "Userinit.exe" vào thư mục %WinDir%  Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào ổ USB để phát tán.  Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%\kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.DownloaderIA.Trojan, W32.VundoZA.Trojan, W32.VundoZB.Trojan, W32.AmvoGA.Worm, W32.AmvoGB.Worm, W32.ErrCleanBA.Adware, W32.Ekmogen.Worm, W32.Lotus.Worm, W32.LotusB.Worm, W32.Pigeon.Adware, W32.ZhiDaoG.Worm 9. Bkav1605 - Phát hành lần thứ 2 ngày 14/04/2008, cập nhật FraudToolC, XpUpdaterD, CinmusAP, Glock, HBKer, RankyH, SdBotAB Malware cập nhật mới nhất:  Tên malware: W32.BraviaQ.Trojan  Thuộc họ: W32.Bravia.Trojan  Loại:Trojan  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 14/04/2008  Kích thước: 16.5 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Ngăn cản người dùng không chạy được các chương trình diệt virus như: Norton Antivirus, Nod32, và các chương trình firewall.  Tự động download virus về máy người sử dụng.  Hiện thông báo giả đánh lừa người sử dụng: o Your computer is infected! o Windows has detected spyware infection! o It is recomended to use special antispyware tools to pervent data loss. o Windows will now download and install the most up-to-date antispyware for you. o Click here to protect your computer from spyware! Cách thức lây nhiễm:  Phát tán qua các trang web.  Do virus khác download về Cách phòng tránh:  Không nên truy cập vào các trang web độc hại. Mô tả kỹ thuật:  Tạo mutex {43278 4632} kiểm tra chỉ có một phiên bản của virus chạy trên máy  Ghi file: %system%\univrs32.dat ( được phát hiện là virus BraviaD )  Ghi các key làm giảm mức độ anh ninh của hệ thống: o HKLM\ \Microsoft\Security Center và HKCU\ \Microsoft\Security Center với các giá trị AntiVirusDisableNotify = 0x01 FirewallDisableNotify = 0x01 UpdatesDisableNotify = 0x01 AntiVirusDisableNotify = 0x01 FirewallDisableNotify =0x01 o HKCU\ \Microsoft\WindowsFirewall\DomainProfile EnableFirewall = 0x00 HKCU\ \WindowsFirewall\StandardProfile EnableFirewall = 0x00 o HKLM\ \CurrentVersion\Internet Settings\Zones\X name= "Y" data="IP address" ; trong đó : X=0;1;2;3;4 và Y=1200;1201;1208;1608;1804;2500; để thiết lập chế độ local ip cho một số IP qua đó làm giảm mức độ kiểm soát an ninh với các IP này  Hiện thông báo giả: "Your computer is infected!"  Đóng các process của các chương trình phát hiện virus, rootkit và spyware: kmd.exe, winavxx.exe, bolenjx.exe, bolenja.exe, rootkit_detektive.exe, autoruns.exe, vundofix.exe, trjscan.exe, tpsrv.exe, thguard.exe, symwsc.exe, superantispyware.exe, spyblock.dll, spbbcsvc.exe, sndsrvc.exe, sndmon.exe, sdtrayapp.exe, sbserv.exe, pskmssvc.exe, psimsvc.exe, pshost.exe, psctrls.exe, pifsvc.exe, pavsrv51.exe, pavprsrv.exe, lucoms~1.exe, lsetup.exe, ccsvchst.exe, ccproxy.exe, avengine.exe, avciman.exe, ashwebsv.exe, ashserv.exe, ashmaisv.exe, apvxdwin.exe, appsvc32.exe, aluschedulersvc.exe, gmer.exe, killbox.exe, avgupsvc.exe, avgamsvr.exe, avgw.exe, avgcc.exe, msmpeng.exe, printer.exe, svcntaux.exe, swdsvc.exe, avgas.exe, symlcsvc.exe, fwservice.exe, prevxcsi.exe, navilog, navapsvc.exe, globkill.exe, dss.exe, procmast.exe, combo.exe, defwatch.exe, ccsetmgr.exe, ccpwdsvc.exe, sdfix.exe, zcomservice.exe, zcodec.exe, zclient.exe, pywaredetector.exe, spybotsd.exe, spybot.exe, savscan.exe, sandboxieserver.exe, rtvscan.exe, pboptions.exe  Ẩn file với tên bravia.exe, csrss.exe, Chuyên viên phân tích : Phan Đình Phúc 10. Bkav 1610 - Phát hành lần thứ 2 ngày 17/04/2008, cập nhật BlockReB, HackerOnlineT, AgentProx, PakesD, QhostA, StartPageH, BlockReA Malware cập nhật mới nhất: . để cập nhật danh sách và download các virus khác về máy  Tạo các mutex để chỉ chạy một bản sao của virus: o __B_ZX o __B_MH o __B_DH o 52D77ECE7B3 242 4dB93B9A6EFBDDB0DF Chuyên viên phân. web.  Do virus khác download về Cách phòng tránh:  Không nên truy cập vào các trang web độc hại. Mô tả kỹ thuật:  Tạo mutex {43 278 46 32} kiểm tra chỉ có một phiên bản của virus chạy. 14/ 04/ 2008  Kích thước: 16.5 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Ngăn cản người dùng không chạy được các chương trình diệt virus