1. Bkav1596 (09/04/2008) cập nhật lần thứ 1: SocksF, AutorunDM Malware cập nhật mới nhất: Tên malware: W32.AutorunDM.Worm Thuộc họ: W32.Autorun.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 08/04/2008 Kích thước: 56.5 Kb Mức độ phá hoại: Trung bình Nguy cơ: Lấy cắp thông tin cá nhân. Làm giảm mức độ an ninh của hệ thống. Cài thêm virus khác vào hệ thống. Hiện tượng: Sửa registry. Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows Bật các popup quảng cáo từ trang http://www.me[removed].com Tự động download các trojan về máy Xóa bản thân sau khi chạy Cách thức lây nhiễm: Phát tán qua USB, các ổ đĩa chia sẻ Cách phòng tránh: Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat. Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa. Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật: Tạo ra các bản sao của nó: o %Program Files%\meex.exe o %Program Files%\Common Files\Microsoft Shared\hopjuhc.exe o %Program Files%\Common Files\System\jbmnovh.exe Tắt chương trình Kaspersky AntiVirus Xóa key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVP" không cho KAV chạy khi hệ thống khởi động. Ghi giá trị: o lgdlwuc="%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động. o nuydgvu ="%Program Files%\Common Files\System\jbmnovh.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động. Lây nhiễm qua các ổ USB, ổ mạng: o Copy bản thân vào các ổ với tên "nuydgvu.exe", tạo file autorun.inf để chạy mỗi khi mở ổ đó ra Tải về máy file text chứa link down các trojan khác từ trang : o http://www.webe[removed]b.com/ReadDown.txt Bật các popup quảng cáo từ trang http://www.me[removed].com Ghi giá trị "Debugger" = "%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe" vào các key HKLM\ \CurrentVersion\Image File Execution Options\<tên file> để chạy file virus thay vì chạy các file : o Ras.exe o avp.com o avp.exe o runiep.exe o PFW.exe o FYFireWall.exe o rfwmain.exe o rfwsrv.exe o KAVPF.exe o KPFW32.exe o Chuyên viên phân tích : Nguyễn Quốc Nhân Một số malware đáng chú ý cập nhật cùng ngày: W32.SoundMan.Worm, W32.PopDownC.Worm, W32.TTC.Adware, W32.DownloaderQC.Worm, W32.KavoQE.Worm, W32.DashferES.PE, W32.IEMonitorA.Spyware, W32.SocksF.Worm, W32.BraviaxHqB.Worm, W32.OnGamesDF.Trojan, W32.WinsysDropA.Trojan, W32.ZlobST.Adware, W32.007Spysoft.Trojan, W32.CimusL.Rootkit, W32.CimusO.Rootkit 2. Bkav1594 (08/04/2008) cập nhật lần thứ 2: AutoVbsC, KavoXW Malware cập nhật mới nhất: Tên malware: W32.AutoVbsC.Worm Thuộc họ: W32.AutoVbs.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 08/04/2008 Kích thước: 10Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Ghi giá trị %ComputerName%=”C:\Windows\.vbe” Vào key HKLM\software\microsoft\windows\currentversion\policies\explorer\run để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên ".vbe" vào thư mục %WinDir% Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa. Ghi key không cho người dùng hiện các file có thuộc tính ẩn. Ghi các giá trị : "til", "tjs", "djs", "ded", "atd", "dna" trong key HKLM\ \windows\currentversion\policies\explorer lưu các thông tin của worm. Sau 3 ngày tính từ lần chạy đầu tiên : bật service "task scheduler" Kiểm tra version của Script hiện tại đang chạy, nếu khác version của worm thì tiến hành gỡ bỏ và xóa file của script đó. Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.AutoVbsD.Worm, W32.DownlodAdware.Trojan, W32.KavoXW.Worm, W32.OnGameQA.Trojan, W32.OnGameQB.Trojan, W32.OnGameQC.Trojan, W32.OnGameQD.Trojan 3. Bkav1597 (09/04/2008) cập nhật lần thứ 2: CTfino, RankyG Malware cập nhật mới nhất: Tên malware: W32.DownlodAdware.Trojan Thuộc họ: W32.Downloader.Trojan Loại: Trojan Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 09/04/2008 Kích thước: 45 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Tự động download virus về máy người dùng . Hiện pop up các trang quảng cáo Cách thức lây nhiễm: Phát tán qua các trang web. Cách phòng tránh: Không nên truy cập vào các trang web độc hại, phần mềm miễn phí. Mô tả kỹ thuật: Copy bản thân vào các file: o %WinDir%\mrofuni.exe o %WinDir%\tsitra.exe Ghi key run: o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run] runner1 = "%Windows%\tsitra.exe" o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] runner1 = "%Windows%\mrofinu.exe" Download virus từ địa chỉ: http:// o.com/retadpu.php về máy người dùng. Chuyên viên phân tích : Tô Đình Hiệp 4. Bkav1598 (10/04/2008) cập nhật lần thứ 1: KavoPcn, PeedJ Malware cập nhật mới nhất: Tên malware: W32.KavoPcn.Worm Thuộc họ: W32.Kavo.Worm Loại: Worm Xuất xứ : Trung Quốc Ngày phát hiện mẫu: 09/04/2008 Kích thước: 117Kb Mức độ phá hoại: Trung bình Nguy cơ: . nhân. Làm giảm mức độ an ninh của hệ thống. Cài thêm virus khác vào hệ thống. Hiện tượng: Sửa registry. Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows Bật các popup. HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun để chạy virus lúc hệ thống khởi động. o nuydgvu ="%Program Files%Common FilesSystemjbmnovh.exe" vào key HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun để chạy virus lúc. Sharedhopjuhc.exe o %Program Files%Common FilesSystemjbmnovh.exe Tắt chương trình Kaspersky AntiVirus Xóa key "HKLMSoftwareMicrosoftWindowsCurrentVersionRunAVP" không cho