Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường Bkav 1938 - Phát hành lần thứ 2 ngày 11/10/2008, cập nhật SecretTL, FakeRasA, IEBHOD, SchedC, StupiGamesSF, AmvooA Malware cập nhật mới nhất: Tên malware: W32.SecretTL.Worm Thuộc họ:W32.Secret.Worm Loại: Worm Xuất xứ: Việt Nam Ngày phát hiện mẫu: 11/10/2008 Kích thước: 81 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Lấy cắp thông tin cá nhân. Hiện tượng: Sửa registry Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm qua USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Tự copy bản thân thành các file : %WINDIR %\userinit.exe %SYSDIR%\system.exe Tạo key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"=Reg_SZ"%WINDIR%\userinit.exe" để virus chạy lúc khởi động máy. Ghi lại quá trình gõ phím của người sử dụng (keylog) vào file %WINDIR%\kdcoms.dll. Copy bản thân thành file có tên : "secret.exe" kèm theo file autorun.inf vào các ổ đĩa. Chuyên viên phân tích : Cao Minh Phương Bkav1950 - Phát hành lần thứ 2 ngày 17/10/2008, cập nhật Pharoh, YurFake, KxvoMJ, Rnet3XD, SpyBotAE, OnGameJBF Malware cập nhật mới nhất: Tên malware: W32.Pharoh.PE Thuộc họ: W32.Pharoh.PE Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 17/10/2008 Kích thước: 151Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hỏng các file thực thi của hệ thống. Hiện tượng: Sửa registry. Không hiện được các file có thuộc tính ẩn. Kích thước các file thực thi bị tăng lên. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Phát tán qua email. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Không mở các email lạ, không rõ nguồn gốc. Mô tả kỹ thuật: Copy bản thân thành các file sau: %SystemDrive%\Documents and Settings\tazebama.dl_ %SystemDrive%\Documents and Settings\hook.dl_ %UserProfile%\Start Menu\Programs\Startup\zPharoh.exe Tạo file %SystemDrive%\Documents and Settings\tazebama.dll Tạo các file sau: %SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\tazebama.log %SystemDrive%\Documents and Settings\[USER NAME]\Application Data\tazebama\zPharaoh.dat Thu thập các địa chỉ email trong máy tính và gửi kèm bản thân thành các file đính kèm theo email dưới những tên sau: windows.rar office_crack.rar serials.rar passwords.rar windows_secrets.rar source.rar imp_data.rar documents_backup.rar backup.rar MyDocuments.rar HpphmfUppmcbsOpujgjfs/fyf GoogleToolbarNotifier.exe PanasonicDVD_DigitalCam.exe Antenna2Net.exe RadioTV.exe Microsoft MSN.exe Sony Erikson DigitalCam.exe IDE Conector P2P.exe Windows Keys Secrets.exe Tao các file sau vào thư mục gốc các ổ đĩa zPharaoh.exe autorun.inf Copy vào thư mục %UserProfile%\Local Settings\Application Data\Microsoft\CD Burning 2 file: zPharaoh.exe autorun.inf để khi ghi đĩa sẽ kèm theo worm. Lây nhiễm vào các file thực thi có trong hệ thống. Có thể mã hóa các file có phần mở rộng sau : .cpp .mdb .hpl .pdf .rar Chuyên viên phân tích : Nguyễn Ngọc Dũng Bkav1949 (17/10/2008) cập nhật lần thứ 1: WhBoyFB, RestDot Malware cập nhật mới nhất: Tên malware: W32.YMdcVB.Worm Thuộc họ: W32.YMdcVB.Worm Loại: worm Xuất Xứ : Việt Nam Ngày phát hiện mẫu: 16/10/2008 Kích thước: 172Kb Mức độ phá hoại: Trung bình. Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Tự động gửi tin nhắn qua Yahoo Messenger Cách thức lây nhiễm: Phát tán qua các tài nguyên chia sẻ mạng nội bộ. Phát tán qua trang web độc hại. Phát tán qua Yahoo Messenger Cách phòng tránh: Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Không kick vào các link lạ được gửi qua Yahoo Messenger! Mô tả kỹ thuật: Tạo bản sao tại địa chỉ: %Windir%\Help\Other.exe %Windir%\inf\Other.exe %Windir%\system\Fun.exe %System%\config\Win.exe %System%\WinSit.exe %Windir%\dc.exe %Windir%\SVIQ.EXE Tự động gửi tin nhắn tới các nick trong danh sách với nội dung : "[http://]dungcoivb.googlepages.com/[REMOVED] Olalala, may tinh cua ban da dinh Worm DungCoi " Ghi các Key sau để Worm có thể được kích hoạt mỗi khi khởi động hệ thống : HKCU\ \CurrentVersion\Run\"dc2k5" = "C:\WINDOWS\SVIQ.EXE" HKCU\ \CurrentVersion\Run\"Fun" = "C:\WINDOWS\system\Fun.exe" HKCU\ \CurrentVersion\Run\"dc" = "C:\WINDOWS\dc.exe" HKCU\ \Windows NT\CurrentVersion\Windows\"run" = "C:\WINDOWS\system32\config\Win.exe" HKLM\ \Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe C:\WINDOWS\system32\WinSit.exe" HKCU\ \Windows NT\CurrentVersion\Windows\"load" = "C:\WINDOWS\inf\Other.exe" Chuyên viên phân tích: Ngô Quốc Hoàn Bkav1947 (16/10/2008) cập nhật lần thứ 1: FlashyK, WhBoyJF Malware cập nhật mới nhất: Tên malware: W32.FakeAntiXPB.Spyware Thuộc họ: W32.FakeAntivirus Loại: Spyware Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 15/10/2008 Kích thước: 111 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Lấy cắp và gửi thông tin cá nhân ra bên ngoài. Hiện tượng: Sửa registry. Xuất hiện một chương trình mạo nhận là AntivirusXP, tự động quét virus và yêu cầu đăng kí sử dụng, cập nhật Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning! Spyware detected on your computer. Install an antivirus or spyware remover to clean your computer!" Máy tính bị chậm đi Xuất hiện screensaver có dạng màn hình dump chuẩn của windows khi máy để khoảng 10 phút mà không sử dụng Cách thức lây nhiễm: Do malware khác download về Cách phòng tránh: Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat. Không nên mở các liên kết lạ nhận đựơc qua Yahoo Messenger. Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật: . AntivirusXP, tự động quét virus và yêu cầu đăng kí sử dụng, cập nhật Màn hình nền desktop bị thay bởi màn hình xanh cảnh bảo: "Warning! Spyware detected on your computer. Install an antivirus. WhBoyJF Malware cập nhật mới nhất: Tên malware: W32.FakeAntiXPB.Spyware Thuộc họ: W32.FakeAntivirus Loại: Spyware Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 15/10/2008 Kích thước: 111 Kb Mức. HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon "Userinit"=Reg_SZ"%WINDIR%userinit.exe" để virus chạy lúc khởi động máy. Ghi lại quá trình gõ phím của người sử dụng (keylog) vào file %WINDIR%kdcoms.dll.