26. Bkav1949 (17/10/2008) cập nhật lần thứ 1: WhBoyFB, RestDot Malware cập nhật mới nhất: Tên malware: W32.YMdcVB.Worm Thuộc họ: W32.YMdcVB.Worm Loại: worm Xuất Xứ : Việt Nam Ngày phát hiện mẫu: 16/10/2008 Kích thước: 172Kb Mức độ phá hoại: Trung bình. Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Tự động gửi tin nhắn qua Yahoo Messenger Cách thức lây nhiễm: Phát tán qua các tài nguyên chia sẻ mạng nội bộ. Phát tán qua trang web độc hại. Phát tán qua Yahoo Messenger Cách phòng tránh: Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Không kick vào các link lạ được gửi qua Yahoo Messenger! Mô tả kỹ thuật: Tạo bản sao tại địa chỉ: o %Windir%\Help\Other.exe o %Windir%\inf\Other.exe o %Windir%\system\Fun.exe o %System%\config\Win.exe o %System%\WinSit.exe o %Windir%\dc.exe o %Windir%\SVIQ.EXE Tự động gửi tin nhắn tới các nick trong danh sách với nội dung : "[http://]dungcoivb.googlepages.com/[REMOVED] Olalala, may tinh cua ban da dinh Worm DungCoi " Ghi các Key sau để Worm có thể được kích hoạt mỗi khi khởi động hệ thống : o HKCU\ \CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE" o HKCU\ \CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe" o HKCU\ \CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe" o HKCU\ \Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe" o HKLM\ \Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe" o HKCU\ \Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe" Chuyên viên phân tích: Ngô Quốc Hoàn 27. Bkav1947 (16/10/2008) cập nhật lần thứ 1: FlashyK, WhBoyJF Malware cập nhật mới nhất: Tên malware: W32.FakeAntiXPB.Spyware Thuộc họ: W32.FakeAntivirus Loại: Spyware Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 15/10/2008 Kích thước: 111 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Lấy cắp và gửi thông tin cá nhân ra bên ngoài. Hiện tượng: Sửa registry. Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và yêu cầu đăng kí sử dụng, cập nhật Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean your computer!" Máy tính bị chậm đi Xuất hiện screensaver có dạng màn hình dump chuẩn của windows khi máy để khoảng 10 phút mà không sử dụng Cách thức lây nhiễm: Do malware khác download về Cách phòng tránh: Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat. Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger. Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật: Download file có dung lượng >9 Mb để làm chương trình diệt virus giả Download file screensaver có dạng màn hình dump chuẩn vào thư mục %system% Ghi key để virus được load lên khi khởi động: + HKCU\Software\Microsoft\Windows\CurrentVersion\Run "lphc9dkj0ec6a"="%SYSDIR%/lphc9dkj0ec6a.exe" "SMrhccdkj0ec6a"="%SYSDIR%/rhcahej0ej6v.exe" Ghi các key để thay đổi màn hình nền desktop và thiết đặt screensaver +"HKCU\ \CurrentVersion\Policies\System" "NoDispBackgroundPage"=1 "NoDispScrSavPage"=1 +"HKEY_CURRENT_USER\\Control Panel\\Colors" "ackground" "WallpaperStyle" "TileWallpaper" "SCRNSAVE.EXE" "OriginalWallpaper" "ConvertedWallpaper" "OriginalWallpaper" "Wallpaper" Chuyên viên phân tích : Phan Đình Phúc Một số malware đáng chú ý cập nhật cùng ngày: W32.KxvoTLD.Worm, W32.KxvoTT.Worm, W32.TrojanLoaderTA.Trojan, W32.CinmusYR.Rootkit, W32.VundoIA.Trojan, W32.CtfMonP.Worm, W32.FialaPI.Worm, W32.AmvoSSC.Worm, W32.KavoSSA.Worm, W32.RsnetC.Worm 28. Phát hành lần thứ 2 ngày 24/10/2008, cập nhật AgentBE, SrizbJ, UserinitFakeB, TmpGex, VundoBCN, YuriC Malware cập nhật mới nhất: Tên malware: W32.UserinitFakeB.Trojan Thuộc họ: W32.UserinitFake.Trojan Loại: Trojan Ngày phát hiện mẫu: 24/10/2008 Kích thước: 8Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Cách thức lây nhiễm: Phát tán qua trang web. Do trojan khác download về. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật: Ghi đè virus lên file userinit.exe của Windows để virus được kích hoạt mỗi khi Win khởi động Tạo mutex : MICK_DOWNLOAD_MUTEX để chỉ 1 trojan cùng loại chạy trên 1 máy. Download dk.txt từ đường link : http://www.d[removed]tdt.net/dk.txt File này chứa rất nhiều link download các trojan khác : http://png1.gacxz.net/soft0.exe http://png1.gacxz.net/soft1.exe http://png1.gacxz.net/soft33.exe Chuyên viên phân tích : Ngô Quốc Hoàn 29. Bkav 1986 - Phát hành lần thứ 2 ngày 28/10/2008, cập nhật SecretQG, BtorrenM, StupAntiSE, FialaPN, ServiceDwn, Kavo2F Malware cập nhật mới nhất: Tên malware: W32.FialaPN.Worm Thuộc họ: W32.Fiala.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 28/10/2008 Kích thước: 15Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Bị ăn cắp mật khẩu tài khoản Game Online. Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng: Sửa registry. Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác. Không hiện được các file có thuộc tính ẩn. Hiện các popup quảng cáo gây khó chịu. Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được. . W32.FakeAntiXPB.Spyware Thuộc họ: W32.FakeAntivirus Loại: Spyware Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 15/10/2008 Kích thước: 111 Kb Mức độ phá hoại: Trung bình Nguy cơ: . bên ngoài. Hiện tượng: Sửa registry. Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và yêu cầu đăng kí sử dụng, cập nhật Màn hình nền desktop bị thay bởi màn hình. dung lượng >9 Mb để làm chương trình diệt virus giả Download file screensaver có dạng màn hình dump chuẩn vào thư mục %system% Ghi key để virus được load lên khi khởi động: + HKCUSoftwareMicrosoftWindowsCurrentVersionRun