 %WinDir%\j6445622.exe %SysDir%\[RandomName]\ib8979.exe %SysDir%\[RandomName]\csrss.exe %SysDir%\[RandomName]\lsass.exe %SysDir%\[RandomName]\services.exe %SysDir%\[RandomName]\winlogon.exe  Tắt các process và các cửa sổ có chứa 1 trong các xâu : peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil, wintask, folder option,worm, trojan, avira, windows script, commander, pc-media, killer, ertanto, anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend, cillin, mcaf, avast, bitdef, machine, movzx, kill, washer, remove, wscript, diary, untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh, Anti, mspatch, siti, virus, services.com, ctfmon, nopdb, opscan, vptray, update, lexplorer, iexplorer, nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray, riyani, xpshare, syslove, tskmgr, ccapps, ash, avg, poproxy, mcv  Tìm các địa chỉ mail trong máy, đồng thời gửi mail có đính kèm virus tới các địa chỉ vừa tìm được. Chuyên viên phân tích : Nguyễn Công Cường 32. Bkav 1991 - Phát hành lần thứ 2 ngày 10/11/2008, cập nhật BrastkC, IsassVA, SecretSER, FakeantiZD, TavoPTB, Kav0J Malware cập nhật mới nhất:  Tên malware: W32.SecretSER.Worm  Thuộc họ: W32.Secret.Worm  Loại: Worm  Xuất xứ: Việt Nam  Ngày phát hiện mẫu: 10/11/2008  Kích thước: 109Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Sửa giá trị “Userinit” và "Shell" của key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và "Userinit.exe" vào thư mục %WinDir%  Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào ổ USB để phát tán.  Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%\kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường 33. Bkav1994 - Phát hành lần thứ 2 ngày 11/11/2008, cập nhật RkjoC, ARPspoofR, FialaJB, BootCom, Ise32Ex, DovanTA Malware cập nhật mới nhất:  Tên malware: W32.FialaJB.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 11/11/2008  Kích thước: 15Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online.  Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng:  Sửa registry.  Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác.  Không hiện được các file có thuộc tính ẩn.  Hiện các popup quảng cáo gây khó chịu.  Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được.  Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%  Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường 34. Bkav1998 - Phát hành lần thứ 2 ngày 13/11/2008, cập nhật KxvoRGL, AgentALA, BrastkSS, KvosofDSE, FakeMsnA, Ise32VV Malware cập nhật mới nhất:  Tên malware: W32.KvosofDSE.Worm  Thuộc họ: W32.Kavo.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 13/11/2008  Kích thước: 162 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Không hiện được các file có thuộc tính ẩn. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Ghi giá trị kvasoft=C:\WINDOWS\system32\kavo.exe Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "kavo.exe" vào thư mục %SysDir%.  Drop ra file có tên : "[random characters]0.dll" vào thư mục %SysDir%.  Ghi mã độc vào process : explorer.exe  Tạo các event :ZXCVASDFFCOOLDSS_MON, Game_start để chỉ 1 worm cùng loại chạy trên 1 máy.  Ăn cắp mật khẩu các game online: MappleStory  Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "nt.com", ghi thêm file "autorun.inf" để virus lây lan Chuyên viên phân tích : Cao Minh Phương . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào. trị "Shell" trong key HKLM Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE,. “Userinit” và "Shell" của key HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "system.exe"