Cách thức lây nhiễm:  Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại  Lây nhiễm qua các virus khác download về máy  Lây nhiễm qua ổ USB, ổ mạng Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật:  Ghi giá trị: o “Windws Servces Agents”=”%System%\[random].exe”vào key HKLM\ \Run o "ImagePath" = ”%System%\[random].exe”HKEY_LOCAL_MACHINE\SYSTEM\ \Services\Windws Servces Agents  Tạo ra các files: o %ProgramFiles%\Common Files\Microsoft Shared\MSInfo\[random].exe (bản sao của virus) o %System%\[random].exe (bản sao của virus)  Chèn mã độc của nó vào các processes: o iexplore.exe o svchost.exe  Copy bản thân vào ổ USB, ổ mạng với tên [random].exe, tạo file Autorun.inf để chạy virus mỗi khi dùng các ổ này.  Bật tính năng Autorun của Windows, không cho hiện các file ẩn.  Không cho thay đổi trang chủ của Internet Explorer Chuyên viên phân tích : Cao Minh Phương Bkav2060 (18/12/2008) cập nhật lần thứ 1: FialaLZ, MixaIO Malware cập nhật mới nhất:  Tên malware: W32.MixaIO.Worm  Thuộc họ: W32Mixa.Worm  Loại: Worm  Xuất xứ: Việt Nam  Ngày phát hiện mẫu: 17/12/2008  Kích thước: 4312Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Bị logoff máy tính khi sử dụng 1 vài tiện ích của windows như: TaskMgr, RegistryTool,  Không hiển thị được file ẩn và file hệ thống. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Ghi giá trị "Userinit " = %SysDir%\systemio.exe vào key HKLM\ \CurrentVersion\Winlogon\ và Virus=%WinDir%\Mixa.exe Vào key HKLM\ \CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành các file : %SysDir%\systemio.exe %WinDir%\Mixa.exe  Liên tục check các process, nếu thấy process có chứa 1 trong các xâu : taskmgr, procexp, regedit, mmc thì đóng tất cả các ứng dụng và LogOff máy tính.  Copy bản thân thành file có tên "Mixa_I.exe" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Liên tục ghi key làm người dùng không hiện được các file ẩn và file hệ thống. Chuyên viên phân tích : Phan Đình Phúc Một số malware đáng chú ý cập nhật cùng ngày: W32.Bulla.Worm, W32.FakeExpJ.Trojan, W32.FialaLZ.Worm, W32.FtpPatch.Trojan, W32.Svcrin.Trojan, W32.GeminiSVC.Worm, W32.ProAntispy.Spyware, W32.RapidAntiC.Adware, W32.RevoSO.Worm Bkav2061 (18/12/2008) cập nhật lần thứ 2: FialaOB, CimusHI Malware cập nhật mới nhất:  Tên malware: W32.FialaOB.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 17/12/2008  Kích thước: 15Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online.  Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng:  Sửa registry.  Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác.  Không hiện được các file có thuộc tính ẩn.  Hiện các popup quảng cáo gây khó chịu.  Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được.  Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%  Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.ADSviru.Trojan, W32.NovaGameL.Trojan, W32.SpeOngameAC.Trojan, W32.KavoDPOIE.Worm, W32.ReaderDPV.Trojan, W32.Pwalker.Worm, W32.CimusHJ.Rootkit, W32.Glowar.Worm Bkav2062 - Phát hành lần thứ 1 ngày 19/12/2008, cập nhật Downer, FialaOC, AlitaoD, AmvoDTQC, SecretDTLP Malware cập nhật mới nhất:  Tên malware: W32.AmvoDTQC.Worm  Thuộc họ: W32.Amvo.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 18/12/2008  Kích thước:108Kb  Mức độ phá hoại: Cao . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào. %SysDir%systemio.exe vào key HKLM CurrentVersionWinlogon và Virus= %WinDir%Mixa.exe Vào key HKLM CurrentVersionRun để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân. trị "Shell" trong key HKLM Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE,