Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server Xóa key không cho người dùng khởi động vào chế độ Safe mode Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống. Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường 21. Bkav1892 - Phát hành lần thứ 1 ngày 18/09/2008, cập nhật HupigonBC, SoberB, CinmusXT, LogoOneXC, FialaDK, DakNongHB Malware cập nhật mới nhất: Tên malware: W32.LogoOneXC.PE Thuộc họ: W32.LogoOne.PE Loại: PE Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 17/09/2008 Kích thước: 61Kb Mức độ phá hoại: Cao Nguy cơ: Ăn cắp thông tin cá nhân. Lây file Làm giảm mức độ bảo mật của hệ thống. Hiện tượng: Sửa registry. Dừng các chương trình diệt virus Làm chậm hệ thống. Mất icon của các file .exe Cách thức lây nhiễm: Phát tán qua trang web, phần mềm miễn phí. Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật: Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe vào key HKLM\ \Windows\CurrentVersion\Run để chạy virus mỗi khi windows được khởi động Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa. Copy chính nó vào %Windir%\ Logo1_.exe %Windir%\uninstall\rundl132.exe Drop ra file: %WinDir%\RichDll.dll Ghi ngày lây nhiễm vào file C:\_desktop.ini Lây file bằng cách ghi code virus vào trước file gốc. Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y. Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared Không lây những file đường dẫn có chứa: • \Program Files\ • Common Files • ComPlus Applications • Documents and Settings • InstallShield Installation Information • Internet Explorer • Messenger • Microsoft Frontpage • Microsoft Office • Movie Maker • MSN • MSN Gaming Zone • NetMeeting • Outlook Express • Recycled • system • System Volume Information • system32 • windows • Windows Media Player • Windows NT • WindowsUpdate • winnt Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE • mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường 22. Bkav 1898 - Phát hành lần thứ 2 ngày 20/09/2008, cập nhật Zhido, BeepSysB, BrontokHD, FakeAlertEA, PWSStealBJ, VikingAB Malware cập nhật mới nhất: Tên malware: W32.FakeAlertEA.Adware Thuộc họ:W32.FakeAlert.Adware Loại: Adware Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 20/09/2008 Kích thước: 204 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Mất các thông tin cá nhân. Hiện tượng: Wallpaper được thay bằng một cảnh báo virus (giả) và không thể thay đổi được Xuất hiện các cảnh báo virus (giả) liên tục. Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả). Cách thức lây nhiễm: Phát tán qua trang web lừa đảo. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Không nên vào các trang rao bán chương trình diệt virus mà không rõ nguồn gốc Mô tả kỹ thuật: Tạo bản sao của chính nó vào thư mục %SysDir% Tạo ra file có tên ngẫu nhiên, ví dụ %SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper, hiển thị cảnh báo virus (giả) Sửa giá trị của các khóa "Wallpaper", "OriginalWallpaper" và "ConvertedWallpaper" trong khóa "HKCU\Control Panel\Desktop" thành "%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper của Windows. Ghi các giá trị "lphcns0j0e1av" = "%SysDir%\lphcns0j0e1av.exe" vào khóa "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" để virus có thể khởi động cùng Windows Thả ra tập tin screen saver có hình dạng màn hình xanh chết chóc để đánh lừa cảm giác của người sử dụng Sử dụng website www.anti-[remove]2008.net làm homepage giả mạo. Chuyên viên phân tích : Lê Anh Vũ Hà 23. Phát hành lần thứ 1 ngày 01/10/2008, cập nhật ARPspoofA, FialaFL, FilaoB, HosterO, LcassA, SecretFE Malware cập nhật mới nhất: Tên malware: W32.FialaFL.Worm Thuộc họ: W32.Fiala.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 30/09/2008 Kích thước: 18Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Bị ăn cắp mật khẩu tài khoản Game Online. . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server Xóa key không cho người dùng khởi động vào. bằng một cảnh báo virus (giả) và không thể thay đổi được Xuất hiện các cảnh báo virus (giả) liên tục. Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả). Cách. • Windows NT • WindowsUpdate • winnt Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE •