Phát hành lần thứ 2 ngày 06/11/2008, cập nhật WhBoyHB, XPackI, BrontokZA, FakeTaskA, JkvoE Malware cập nhật mới nhất: Tên malware: W32.BrontokZA.Worm Thuộc họ: W32.Brontok.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 06/11/2008 Kích thước: 56Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Không vào được một vài trang web bảo mật và antivirus. Không sử dụng được 1 vài tiện ích của windows : RegistryTool, Mất menu FoderOptions. Không sử dụng được 1 số chương trình antivirus. Cách thức lây nhiễm: Phát tán qua trang web. Phát tán qua email : Với Subject là : "My Best Photo" Hoặc "Fotoku yg Paling Cantik" Kèm theo nội dung : "Hi, I want to share my photo with you. Wishing you all the best. Regards," Hoặc : "Hi, Aku lg iseng aja pengen kirim foto ke kamu. Jangan lupain aku ya ! Thanks," Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat Mô tả kỹ thuật: Ghi các key để virus được kích hoạt mỗi khi Windows khởi động Sửa file hosts ngăn không cho người dùng truy cập vào một vài trang web bảo mật. Sửa key không cho người dùng sử dụng một vài tiện ích của windows và làm mất menu FolderOptions. Copy bản thân thành các file : %WinDir%\o4445627.exe %WinDir%\j6445622.exe %SysDir%\[RandomName]\ib8979.exe %SysDir%\[RandomName]\csrss.exe %SysDir%\[RandomName]\lsass.exe %SysDir%\[RandomName]\services.exe %SysDir%\[RandomName]\winlogon.exe Tắt các process và các cửa sổ có chứa 1 trong các xâu : peid , task view, telanjang, bugil, cewe, naked, porn, sex, alwil, wintask, folder option,worm, trojan, avira, windows script, commander, pc-media, killer, ertanto, anti, ahnlab, nod32, hijack, sysinter, aladdin, panda, trend, cillin, mcaf, avast, bitdef, machine, movzx, kill, washer, remove, wscript, diary, untukmu, kangen, sstray, Alicia, Mariana, Dian, foto, zlh, Anti, mspatch, siti, virus, services.com, ctfmon, nopdb, opscan, vptray, update, lexplorer, iexplorer, nipsvc, njeeves, cclaw, nvcoas, aswupdsv, ashmaisv, systray, riyani, xpshare, syslove, tskmgr, ccapps, ash, avg, poproxy, mcv Tìm các địa chỉ mail trong máy, đồng thời gửi mail có đính kèm virus tới các địa chỉ vừa tìm được. Chuyên viên phân tích : Nguyễn Công Cường Bkav 1991 - Phát hành lần thứ 2 ngày 10/11/2008, cập nhật BrastkC, IsassVA, SecretSER, FakeantiZD, TavoPTB, Kav0J Malware cập nhật mới nhất: Tên malware: W32.SecretSER.Worm Thuộc họ: W32.Secret.Worm Loại: Worm Xuất xứ: Việt Nam Ngày phát hiện mẫu: 10/11/2008 Kích thước: 109Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Sửa giá trị “Userinit” và "Shell" của key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và "Userinit.exe" vào thư mục %WinDir% Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào ổ USB để phát tán. Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%\kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường Bkav1994 - Phát hành lần thứ 2 ngày 11/11/2008, cập nhật RkjoC, ARPspoofR, FialaJB, BootCom, Ise32Ex, DovanTA Malware cập nhật mới nhất: Tên malware: W32.FialaJB.Worm Thuộc họ: W32.Fiala.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 11/11/2008 Kích thước: 15Kb Mức độ phá hoại: Cao Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Bị ăn cắp mật khẩu tài khoản Game Online. Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng: Sửa registry. Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác. Không hiện được các file có thuộc tính ẩn. Hiện các popup quảng cáo gây khó chịu. Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được. Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir% Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa. Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động. Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server Xóa key không cho người dùng khởi động vào chế độ Safe mode Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống. Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe Các malware này bao gồm: Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) Downloader (tải về rất nhiều malware khác) Keylogger (ăn cắp mật khẩu Games Online) Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường Bkav1998 - Phát hành lần thứ 2 ngày 13/11/2008, cập nhật KxvoRGL, AgentALA, BrastkSS, KvosofDSE, FakeMsnA, Ise32VV Malware cập nhật mới nhất: Tên malware: W32.KvosofDSE.Worm Thuộc họ: W32.Kavo.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 13/11/2008 Kích thước: 162 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Không hiện được các file có thuộc tính ẩn. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Ghi giá trị kvasoft=C:\WINDOWS\system32\kavo.exe Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên "kavo.exe" vào thư mục %SysDir%. . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server Xóa key không cho người dùng khởi động vào chế. giá trị "Shell" trong key HKLM Winlogon để virus được kích hoạt mỗi khi windows khởi động. Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE,. vài trang web bảo mật và antivirus. Không sử dụng được 1 vài tiện ích của windows : RegistryTool, Mất menu FoderOptions. Không sử dụng được 1 số chương trình antivirus. Cách thức lây nhiễm: