1. Trang chủ
  2. » Công Nghệ Thông Tin

Bách Khoa Antivirus-Đặc Điểm Các Virus part 31 doc

5 157 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 140,69 KB

Nội dung

Nguy cơ:  Ăn cắp thông tin cá nhân.  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Thay đổi registry. Cách thức lây nhiễm:  Tự động lây nhiễm vào USB.  Phát tán qua các trang web độc hại. Cách phòng tránh:  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Mô tả kỹ thuật:  Copy chính nó thành các file sau: o %Sysdir%\\amvo.exe  Tạo các file sau: o %Userdir%\Local Settings\Temp\8sky7pia.dll o %Userdir%\Local Settings\Temp\4.sys o %Userdir%\Local Settings\Temp\help.exe o %Sysdir%\amvo0.dll  Ghi key sau để tự động kích hoạt virus khi khởi động máy tính: o HKCU\ \Windows\CurrentVersion\Run\amva  Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus lây lan. Chuyên viên phân tích: Nguyễn Công Cường Bkav2065 - Phát hành lần thứ 1 ngày 20/12/2008, cập nhật Debugter, SecretCH, JvsoftDWEB, FakeAntiNS, CognacKL Malware cập nhật mới nhất:  Tên malware: W32.JvsoftDWEB.Worm  Thuộc họ: W32.Jvsoft.Worm  Loại: Worm  Xuất xứ : Trung Quốc  Ngày phát hiện mẫu: 19/12/2008  Kích thước: 162Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Không hiện được các file có thuộc tính ẩn.  Ngăn cản người dùng sử dụng các chương trình diệt virus. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "jvosoft.exe" vào thư mục %SysDir%.  Tạo ra các files: o %SysDir%\jvosoft0.dll o %SysDir%\jvosoft1.dll o %TempDir%\mnnxju.dll o %TempDir%\fbwi.dll  Ghi giá trị “Kava”=”C:\WINDOWS\system32\jvosoft.exe” Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động  Ghi các key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = "0" không cho hiện file ẩn HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2" HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa.  Tắt các cửa sổ cảnh báo của chương trình Kaspersky  Tắt process của các chương trình diệt virus KAV  Tiêm mã độc vào process : explorer.exe  Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan Chuyên viên phân tích : Lê Quang Hà Bkav 2067 - Phát hành lần thứ 1 ngày 23/12/2008, cập nhật FakeAlertQIB, FialaNA, VamsoftE, AutorunZX, Forbot Malware cập nhật mới nhất:  Tên malware: W32.AutorunZX.Worm  Thuộc họ: W32.Autorun.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 22/12/2008  Kích thước: 696Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên msvcrt.bak vào thư mục cài đặt Internet Explorer  Tạo ra các file: o msvcrt.dll trong thư mục cài đặt Internet Explorer o Relive.dll trong thư mục %CommonFiles%  Ghi giá trị: o {0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}="" vào key: HKLM\ \Explorer\ShellExecuteHooks o (Default)= "C:\Program Files\Internet Explorer\msvcrt.dll" vào key: HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A- AE3FD8EF56B3}\InProcServer32\  Tạo key: HKLM\ \Browser Helper Objects\{D3626E66-B13B-C628-ACDF- BDABCFA265E1} và ghi giá trị (Default)="%CommonFiles%\Relive.dll" vào key: HKCR\CLSID\{D3626E66-B13B-C628-ACDF- BDABCFA265E1}\InProcServer32\  Virus tìm cách xóa các giá trị sau: o {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5} o {131AB311-16F1-F13B-1E43-11A24B51AFD1} o {274B93C2-A6DF-485F-8576-AB0653134A76} o {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} o trong key HKLM\ \Explorer\ShellExecuteHooks  Virus tìm cách xóa các file sau: smss.exe, csrss.exe, conime.exe, ctfmon.exe, stpgldk.exe, wdso.exe, ztso.exe, tlso.exe, rxso.exe, srogm.exe trong thư mục %Temp%  Copy bản thân thành file Ghost.pif và tạo file autorun.inf trong các ổ đĩa USB để virus lây lan. Chuyên viên phân tích : Lê Anh Vũ Hà Bkav2073 - Phát hành lần thứ 2 ngày 26/12/2008, cập nhật ReaderVS, SecretDA, PekerA, RodviA, FialaYA, XpondA Malware cập nhật mới nhất:  Tên malware: W32.FialaYA.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 25/12/2008  Kích thước: 15Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online.  Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng:  Sửa registry.  Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác.  Không hiện được các file có thuộc tính ẩn.  Hiện các popup quảng cáo gây khó chịu.  Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được.  Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%  Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động. Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, . HKCRCLSID{D3626E66-B13B-C628-ACDF- BDABCFA265E1}InProcServer32  Virus tìm cách xóa các giá trị sau: o {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5} o {131AB311-16F1-F13B-1E43-11A24B51AFD1} o {274B93C2-A6DF-485F-8576-AB06 5313 4A76} o {1496D5ED-7A09-46D0-8C92-B8E71A4304DF}. động kích hoạt virus khi khởi động máy tính: o HKCU WindowsCurrentVersionRunamva  Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus lây lan giá trị "Shell" trong key HKLM Winlogon để virus được kích hoạt mỗi khi windows khởi động. Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE,

Ngày đăng: 02/07/2014, 18:20