1. Trang chủ
  2. » Công Nghệ Thông Tin

Bách Khoa Antivirus-Đặc Điểm Các Virus part 32 ppt

5 182 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 149,22 KB

Nội dung

1  KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường Bkav2075 - Phát hành lần thứ 2 ngày 27/12/2008, cập nhật FakeAlertNT, WormDC, FakeIeY, FialaZL, Windir Malware cập nhật mới nhất:  Tên malware: W32.FakeAlertNT.Adware  Thuộc họ:W32.FakeAlert.Adware  Loại: Adware  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 16/12/2008  Kích thước: 204 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Mất các thông tin cá nhân. Hiện tượng:  Wallpaper được thay bằng một cảnh báo virus (giả) và không thể thay đổi được  Xuất hiện các cảnh báo virus (giả) liên tục.  Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả). Cách thức lây nhiễm:  Phát tán qua trang web lừa đảo. 2 Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.  Không nên vào các trang rao bán chương trình diệt virus mà không rõ nguồn gốc Mô tả kỹ thuật:  Tạo bản sao của chính nó vào thư mục %SysDir%  Tạo ra file có tên ngẫu nhiên, ví dụ %SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper, hiển thị cảnh báo virus (giả)  Sửa giá trị của các khóa "Wallpaper", "OriginalWallpaper" và "ConvertedWallpaper" trong khóa "HKCU\Control Panel\Desktop" thành "%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper của Windows.  Ghi các giá trị "lphcns0j0e1av" = "%SysDir%\lphcns0j0e1av.exe" vào khóa "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run" để virus có thể khởi động cùng Windows  Thả ra tập tin screen saver có hình dạng màn hình xanh chết chóc để đánh lừa cảm giác của người sử dụng  Sử dụng website www.anti-[remove]2008.net làm homepage giả mạo. Chuyên viên phân tích : Lê Quang Hà Phát hành lần thứ 2 ngày 31/12/2008, cập nhật HanGu, FakeAntiDXBA, BootBNT, AmvoDJKA, TavoDJAE Malware cập nhật mới nhất:  Tên malware: W32.AmvoDJKA.Worm  Thuộc họ: W32.Amvo.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 30/12/2008  Kích thước:108Kb  Mức độ phá hoại: Cao Nguy cơ:  Ăn cắp thông tin cá nhân.  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Thay đổi registry. Cách thức lây nhiễm:  Tự động lây nhiễm vào USB.  Phát tán qua các trang web độc hại. Cách phòng tránh:  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Mô tả kỹ thuật:  Copy chính nó thành các file sau: o %Sysdir%\\amvo.exe  Tạo các file sau: o %Userdir%\Local Settings\Temp\9sky8pia.dll o %Userdir%\Local Settings\Temp\4.sys o %Userdir%\Local Settings\Temp\help.exe o %Sysdir%\amvo0.dll  Ghi key sau để tự động kích hoạt virus khi khởi động máy tính: 3 o HKCU\ \Windows\CurrentVersion\Run\amva  Tìm các ổ đĩa cứng, usb và copy chính nó thành file qwc.exe, ghi thêm file autorun.inf để virus lây lan. Chuyên viên phân tích: Nguyễn Công Cường Bkav2085 - Phát hành lần thứ 1 ngày 05/01/2009, cập nhật DriveNT, KxvoQNT, SecretHK, AutorunNT, RecylerA Malware cập nhật mới nhất:  Tên malware: W32.AutorunNT.Worm  Thuộc họ: W32.Autorun.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 03/01/2009  Kích thước: 696Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên msvcrt.bak vào thư mục cài đặt Internet Explorer  Tạo ra các file: o msvcrt.dll trong thư mục cài đặt Internet Explorer o Relive.dll trong thư mục %CommonFiles%  Ghi giá trị: o {0FAD2E16-C8EF-5AC1-1E6A- AE3FD8EF56B3}="" vào key: HKLM\ \CurrentVersion\Explorer\ShellExecuteHo oks o (Default)= "C:\Program Files\Internet Explorer\msvcrt.dll" vào key: HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A- AE3FD8EF56B3}\InProcServer32\  Tạo key: HKLM\ \Browser Helper Objects\{D3626E66-B13B- C628-ACDF-BDABCFA265E1} và ghi giá trị (Default)="%CommonFiles%\Relive.dll" vào key: HKCR\CLSID\{D3626E66-B13B-C628-ACDF- BDABCFA265E1}\InProcServer32\  Virus tìm cách xóa các giá trị sau: o {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5} o {131AB311-16F1-F13B-1E43-11A24B51AFD1} o {274B93C2-A6DF-485F-8576-AB0653134A76} o {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} o trong key HKLM\ \Explorer\ShellExecuteHooks  Virus tìm cách xóa các file sau: smss.exe, csrss.exe, conime.exe, ctfmon.exe, stpgldk.exe, wdso.exe, 4 ztso.exe, tlso.exe, rxso.exe, srogm.exe trong thư mục %Temp%  Copy bản thân thành file Ghost.pif và tạo file autorun.inf trong các ổ đĩa USB để virus lây lan. Chuyên viên phân tích : Lê Anh Vũ Hà Bkav2089 - Phát hành lần thứ 2 ngày 08/01/2009, cập nhật HirdcYX, MsdsYX, FialaUA, LogoOneJA, VundoBI Malware cập nhật mới nhất:  Tên malware: W32.LogoOneJA.PE  Thuộc họ: W32.LogoOne.PE  Loại: PE Virus  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 07/01/2009  Kích thước: 61Kb  Mức độ phá hoại: Cao Nguy cơ:  Ăn cắp thông tin cá nhân.  Lây file  Làm giảm mức độ bảo mật của hệ thống. Hiện tượng:  Sửa registry.  Dừng các chương trình diệt virus  Làm chậm hệ thống.  Mất icon của các file .exe Cách thức lây nhiễm:  Phát tán qua trang web, phần mềm miễn phí.  Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật:  Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.  Copy chính nó vào %Windir%\ Logo1_.exe %Windir%\uninstall\rundl132.exe  Drop ra file: %WinDir%\RichDll.dll  Ghi ngày lây nhiễm vào file C:\_desktop.ini  Lây file bằng cách ghi code virus vào trước file gốc.  Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.  Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared  Không lây những file đường dẫn có chứa: • \Program Files\ 5 • Common Files • ComPlus Applications • Documents and Settings • InstallShield Installation Information • Internet Explorer • Messenger • Microsoft Frontpage • Microsoft Office • Movie Maker • MSN • MSN Gaming Zone • NetMeeting • Outlook Express • Recycled • system • System Volume Information • system32 • windows • Windows Media Player • Windows NT • WindowsUpdate • winnt  Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE • mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào. bằng một cảnh báo virus (giả) và không thể thay đổi được  Xuất hiện các cảnh báo virus (giả) liên tục.  Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả). Cách. FialaUA, LogoOneJA, VundoBI Malware cập nhật mới nhất:  Tên malware: W32.LogoOneJA.PE  Thuộc họ: W32.LogoOne.PE  Loại: PE Virus  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 07/01/2009  Kích

Ngày đăng: 02/07/2014, 18:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN