Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Không hiện được các file có thuộc tính ẩn. Ngăn cản người dùng sử dụng các chương trình diệt virus. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Copy bản thân thành file có tên "kavo.exe" vào thư mục %SysDir%. Tạo ra các files: o %SysDir%\kavo0.dll o %SysDir%\kavo1.dll o %TempDir%\mnnxju.dll o %TempDir%\fbwi.dll Ghi giá trị “Kava”=”C:\WINDOWS\system32\kavo.exe” Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Ghi các key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = "0" không cho hiện file ẩn HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2" HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa. Tắt các cửa sổ cảnh báo của chương trình Kaspersky Tắt process của các chương trình diệt virus KAV Tiêm mã độc vào process : explorer.exe Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan Chuyên viên phân tích : Ngô Quốc Hoàn Một số malware đáng chú ý cập nhật cùng ngày: W32.DashferET.PE, W32.Zelantine.Trojan, W32.BraveSentryE.Worm, W32.DropperHK.Worm, W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm, W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware, W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm, W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm 5. Bkav1599 (10/04/2008) cập nhật lần thứ 2: Svchot, Spyde Malware cập nhật mới nhất: Tên malware: W32.Spyde.Worm Thuộc họ: W32.Spyde.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 10/04/2008 Kích thước: 20Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Windows title của ie bị đổi thành : Hacked by Spiderman~~!!! (2007- June-10) Thay đổi các link trong favorites của ie. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Ghi giá trị “MicrosoftComboBoxControl”=”C:\Windows\comboClt.ocx.vbs” Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên "comboClt.ocx.vbs" vào thư mục %WinDir% Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa. Đặt lại windows title của ie thành : Hacked by Spiderman~~!!! (2007- June-10) Thay đổi các linh trong favorites của ie thành : www.You were Hacked by Spiderman~~!!! (2007-June-10) http://You were Hacked by Spiderman~~!!! (2007-June-10) http://www.You were Hacked by Spiderman~~!!! (2007-June-10) google.You were Hacked by Spiderman~~!!! (2007-June-10) yahoo.You were Hacked by Spiderman~~!!! (2007-June-10) msn.You were Hacked by Spiderman~~!!! (2007-June-10) baidu.You were Hacked by Spiderman~~!!! (2007-June-10) microsoft.You were Hacked by Spiderman~~!!! (2007-June-10) hotmail.You were Hacked by Spiderman~~!!! (2007-June-10) yahoo.You were Hacked by Spiderman~~!!! (2007-June-10) www.You were Hacked by Spiderman~~!!! (2007-June-10) http://You were Hacked by Spiderman~~!!! (2007-June-10) http://www.You were Hacked by Spiderman~~!!! (2007-June-10) google.You were Hacked by Spiderman~~!!! (2007-June-10) yahoo.You were Hacked by Spiderman~~!!! (2007-June-10) msn.You were Hacked by Spiderman~~!!! (2007-June-10) baidu.You were Hacked by Spiderman~~!!! (2007-June-10) microsoft.You were Hacked by Spiderman~~!!! (2007-June-10) hotmail.You were Hacked by Spiderman~~!!! (2007-June-10) Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE, W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm, W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan 6. Bkav1600 (11/04/2008) cập nhật lần thứ 1: FakeExplorer, Ekoqo Malware cập nhật mới nhất: Tên malware: W32.FakeExplorer.Worm Thuộc họ: W32.FakeExplorer.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 10/04/2008 Kích thước: 20 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Cài thêm virus/spyware vào hệ thống Hiện tượng: Không chạy được các chương trình Anti Virus, các chương trình hệ thống Cách thức lây nhiễm: Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại Lây nhiễm qua các virus khác download về máy Lây nhiễm qua ổ USB, ổ mạng Cách phòng tránh: Không nên mở các file đính kèm có phần mở rông exe, com, pif Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa. Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật: Ghi giá trị: o IEXPLORER=%System%\iexplorer.exe vào key HKLM\ \Run o DisableTaskMgr=1vào key HKCU\ \Policies\System Tạo ra các files: o %System%\iexplorer.exe (bản sao của virus) o %System%\wuauc1t.exe (bản sao của virus) o c:\explorer.exe (bản sao của virus) Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf để tự chạy virus Ghi thêm các giá trị vào key HKLM\SOFTWARE\ \Image File Execution Options, ngăn không cho các chương trình sau chạy: o 360rpt.EXE o 360safe.EXE o 360tray.EXE o ANTIARP.exe o Ast.EXE o AutoRunKiller.exe o AvMonitor.EXE o AVP.EXE o CCenter.EXE o Frameworkservice.EXE o IceSword.EXE o Iparmor.EXE o KASARP.exe o KRegEx.EXE o KVMonxp.kxp o KVSrvXP.EXE o KVWSC.EXE o Mmsk.EXE o Navapsvc.EXE . sao của virus) o %System%wuauc1t.exe (bản sao của virus) o c:explorer.exe (bản sao của virus) Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf để tự chạy virus . cơ: Làm giảm mức độ an ninh của hệ thống. Cài thêm virus/ spyware vào hệ thống Hiện tượng: Không chạy được các chương trình Anti Virus, các chương trình hệ thống Cách thức lây nhiễm:. Tắt các cửa sổ cảnh báo của chương trình Kaspersky Tắt process của các chương trình diệt virus KAV Tiêm mã độc vào process : explorer.exe Ăn cắp mật khẩu các game online.Tìm ổ USB