Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.VbsMulu.Worm, W32.AmvaX.Worm, W32.AmvaXDll1.Worm, W32.AmvaXDll2.Worm, W32.KavoXZ.Worm, W32.KavoXZDll1.Worm Bkav1602 (12/04/2008) cập nhật lần thứ 1: SecretL, RBotH Malware cập nhật mới nhất: Tên malware: W32.SecretL.Worm Thuộc họ: W32.Secret.Worm Loại: Worm Ngày phát hiện mẫu: 11/04/2008 Kích thước: 109Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Sửa giá trị “Userinit” và "Shell" của key HKLM\ \Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và "Userinit.exe" vào thư mục %WinDir% Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào ổ USB để phát tán. Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%\kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.DownloaderIA.Trojan, W32.VundoZA.Trojan, W32.VundoZB.Trojan, W32.AmvoGA.Worm, W32.AmvoGB.Worm, W32.ErrCleanBA.Adware, W32.Ekmogen.Worm, W32.Lotus.Worm, W32.LotusB.Worm, W32.Pigeon.Adware, W32.ZhiDaoG.Worm Bkav1605 - Phát hành lần thứ 2 ngày 14/04/2008, cập nhật FraudToolC, XpUpdaterD, CinmusAP, Glock, HBKer, RankyH, SdBotAB Malware cập nhật mới nhất: Tên malware: W32.BraviaQ.Trojan Thuộc họ: W32.Bravia.Trojan Loại:Trojan Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 14/04/2008 Kích thước: 16.5 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Ngăn cản người dùng không chạy được các chương trình diệt virus như: Norton Antivirus, Nod32, và các chương trình firewall. Tự động download virus về máy người sử dụng. Hiện thông báo giả đánh lừa người sử dụng: Your computer is infected! Windows has detected spyware infection! It is recomended to use special antispyware tools to pervent data loss. Windows will now download and install the most up-to-date antispyware for you. Click here to protect your computer from spyware! Cách thức lây nhiễm: Phát tán qua các trang web. Do virus khác download về Cách phòng tránh: Không nên truy cập vào các trang web độc hại. Mô tả kỹ thuật: Tạo mutex {43278 4632} kiểm tra chỉ có một phiên bản của virus chạy trên máy Ghi file: %system%\univrs32.dat ( được phát hiện là virus BraviaD ) Ghi các key làm giảm mức độ anh ninh của hệ thống: HKLM\ \Microsoft\Security Center và HKCU\ \Microsoft\Security Center với các giá trị AntiVirusDisableNotify = 0x01 FirewallDisableNotify = 0x01 UpdatesDisableNotify = 0x01 AntiVirusDisableNotify = 0x01 FirewallDisableNotify =0x01 HKCU\ \Microsoft\WindowsFirewall\DomainProfile EnableFirewall = 0x00 HKCU\ \WindowsFirewall\StandardProfile EnableFirewall = 0x00 HKLM\ \CurrentVersion\Internet Settings\Zones\X name= "Y" data="IP address" ; trong đó : X=0;1;2;3;4 và Y=1200;1201;1208;1608;1804;2500; để thiết lập chế độ local ip cho một số IP qua đó làm giảm mức độ kiểm soát an ninh với các IP này Hiện thông báo giả: "Your computer is infected!" Đóng các process của các chương trình phát hiện virus, rootkit và spyware: kmd.exe, winavxx.exe, bolenjx.exe, bolenja.exe, rootkit_detektive.exe, autoruns.exe, vundofix.exe, trjscan.exe, tpsrv.exe, thguard.exe, symwsc.exe, superantispyware.exe, spyblock.dll, spbbcsvc.exe, sndsrvc.exe, sndmon.exe, sdtrayapp.exe, sbserv.exe, pskmssvc.exe, psimsvc.exe, pshost.exe, psctrls.exe, pifsvc.exe, pavsrv51.exe, pavprsrv.exe, lucoms~1.exe, lsetup.exe, ccsvchst.exe, ccproxy.exe, avengine.exe, avciman.exe, ashwebsv.exe, ashserv.exe, ashmaisv.exe, apvxdwin.exe, appsvc32.exe, aluschedulersvc.exe, gmer.exe, killbox.exe, avgupsvc.exe, avgamsvr.exe, avgw.exe, avgcc.exe, msmpeng.exe, printer.exe, svcntaux.exe, swdsvc.exe, avgas.exe, symlcsvc.exe, fwservice.exe, prevxcsi.exe, navilog, navapsvc.exe, globkill.exe, dss.exe, procmast.exe, combo.exe, defwatch.exe, ccsetmgr.exe, ccpwdsvc.exe, sdfix.exe, zcomservice.exe, zcodec.exe, zclient.exe, pywaredetector.exe, spybotsd.exe, spybot.exe, savscan.exe, sandboxieserver.exe, rtvscan.exe, pboptions.exe Ẩn file với tên bravia.exe, csrss.exe, Chuyên viên phân tích : Phan Đình Phúc Bkav 1610 - Phát hành lần thứ 2 ngày 17/04/2008, cập nhật BlockReB, HackerOnlineT, AgentProx, PakesD, QhostA, StartPageH, BlockReA Malware cập nhật mới nhất: Tên malware: W32.QhostA.Trojan Thuộc họ: W32.Qhost.Trojan Loại: Trojan Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 17/04/2008 Kích thước: 83 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Không cho người sử dụng truy cập vào các trang web: mcafee.com, kaspersky.com, avast.com Cách thức lây nhiễm: Phát tán qua các trang web. Cách phòng tránh: Không nên truy cập vào các trang web độc hại, phần mềm miễn phí. Mô tả kỹ thuật: Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để khởi động mỗi khi bật máy [HKLM\ \Windows\CurrentVersion\Run] "Microsoft Internet Explorer" = "%SysDir%\iexplore.exe" Dump ra các file %SysDir%\%random_name%.exe được phát hiện là QhostADmp. Sửa file host để ngăn không cho người dùng truy nhập vào các trang: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads5.kaspersky-labs.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 vncsvr.com 127.0.0.1 secdreg.org 127.0.0.1 virusscan.jotti.org 127.0.0.1 virustotal.com 127.0.0.1 dnl-eu12.kaspersky-labs.com 127.0.0.1 dnl-eu13.kaspersky-labs.com 127.0.0.1 dnl-cd1.kaspersky-labs.com 127.0.0.1 dnl-ru1.kaspersky-labs.com 127.0.0.1 dnl-ru2.kaspersky-labs.com 127.0.0.1 dnl-ru5.kaspersky-labs.com 127.0.0.1 dnl-cn1.kaspersky-labs.com . cản người dùng không chạy được các chương trình diệt virus như: Norton Antivirus, Nod32, và các chương trình firewall. Tự động download virus về máy người sử dụng. Hiện thông báo giả đánh. mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1. được phát hiện là virus BraviaD ) Ghi các key làm giảm mức độ anh ninh của hệ thống: HKLM MicrosoftSecurity Center và HKCU MicrosoftSecurity Center với các giá trị AntiVirusDisableNotify