HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Ghi các key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = "0" không cho hiện file ẩn HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2" HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0" HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa. Tắt các cửa sổ cảnh báo của chương trình Kaspersky Tắt process của các chương trình diệt virus KAV Tiêm mã độc vào process : explorer.exe Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan Chuyên viên phân tích : Ngô Quốc Hoàn Một số malware đáng chú ý cập nhật cùng ngày: W32.DashferET.PE, W32.Zelantine.Trojan, W32.BraveSentryE.Worm, W32.DropperHK.Worm, W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm, W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware, W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm, W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm Bkav1599 (10/04/2008) cập nhật lần thứ 2: Svchot, Spyde Malware cập nhật mới nhất: Tên malware: W32.Spyde.Worm Thuộc họ: W32.Spyde.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 10/04/2008 Kích thước: 20Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Windows title của ie bị đổi thành : Hacked by Spiderman~~!!! (2007-June-10) Thay đổi các link trong favorites của ie. Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật: Ghi giá trị “MicrosoftComboBoxControl”=”C:\Windows\comboClt.ocx.vbs” Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên "comboClt.ocx.vbs" vào thư mục %WinDir% Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa. Đặt lại windows title của ie thành : Hacked by Spiderman~~!!! (2007-June-10) Thay đổi các linh trong favorites của ie thành : www.You were Hacked by Spiderman~~!!! (2007-June-10) http://You were Hacked by Spiderman~~!!! (2007-June-10) http://www.You were Hacked by Spiderman~~!!! (2007-June-10) google.You were Hacked by Spiderman~~!!! (2007-June-10) yahoo.You were Hacked by Spiderman~~!!! (2007-June-10) msn.You were Hacked by Spiderman~~!!! (2007-June-10) baidu.You were Hacked by Spiderman~~!!! (2007-June-10) microsoft.You were Hacked by Spiderman~~!!! (2007-June-10) hotmail.You were Hacked by Spiderman~~!!! (2007-June-10) yahoo.You were Hacked by Spiderman~~!!! (2007-June-10) www.You were Hacked by Spiderman~~!!! (2007-June-10) http://You were Hacked by Spiderman~~!!! (2007-June-10) http://www.You were Hacked by Spiderman~~!!! (2007-June-10) google.You were Hacked by Spiderman~~!!! (2007-June-10) yahoo.You were Hacked by Spiderman~~!!! (2007-June-10) msn.You were Hacked by Spiderman~~!!! (2007-June-10) baidu.You were Hacked by Spiderman~~!!! (2007-June-10) microsoft.You were Hacked by Spiderman~~!!! (2007-June-10) hotmail.You were Hacked by Spiderman~~!!! (2007-June-10) Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE, W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm, W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan Bkav1600 (11/04/2008) cập nhật lần thứ 1: FakeExplorer, Ekoqo Malware cập nhật mới nhất: Tên malware: W32.FakeExplorer.Worm Thuộc họ: W32.FakeExplorer.Worm Loại: Worm Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 10/04/2008 Kích thước: 20 Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Cài thêm virus/spyware vào hệ thống Hiện tượng: Không chạy được các chương trình Anti Virus, các chương trình hệ thống Cách thức lây nhiễm: Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại Lây nhiễm qua các virus khác download về máy Lây nhiễm qua ổ USB, ổ mạng Cách phòng tránh: Không nên mở các file đính kèm có phần mở rông exe, com, pif Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa. Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật: Ghi giá trị: IEXPLORER=%System%\iexplorer.exe vào key HKLM\ \Run DisableTaskMgr=1vào key HKCU\ \Policies\System Tạo ra các files: %System%\iexplorer.exe (bản sao của virus) %System%\wuauc1t.exe (bản sao của virus) c:\explorer.exe (bản sao của virus) Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf để tự chạy virus Ghi thêm các giá trị vào key HKLM\SOFTWARE\ \Image File Execution Options, ngăn không cho các chương trình sau chạy: 360rpt.EXE 360safe.EXE 360tray.EXE ANTIARP.exe Ast.EXE AutoRunKiller.exe AvMonitor.EXE AVP.EXE CCenter.EXE Frameworkservice.EXE IceSword.EXE Iparmor.EXE KASARP.exe KRegEx.EXE KVMonxp.kxp KVSrvXP.EXE KVWSC.EXE Mmsk.EXE Navapsvc.EXE Nod32kui.EXE Regedit.EXE VPC32.exe VPTRAY.exe WOPTILITIES.EXE Wuauclt.EXE Kết nối đến trang http://2.troj[Removed]8.com/dd để cập nhật danh sách và download các virus khác về máy Tạo các mutex để chỉ chạy một bản sao của virus: __B_ZX __B_MH __B_DH 52D77ECE7B32424dB93B9A6EFBDDB0DF Chuyên viên phân tích : Cao Minh Phương Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE, W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm, W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX Malware cập nhật mới nhất: Tên malware: W32.FlashyC.Worm Thuộc họ: W32.Flashy.Worm Loại: Worm Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 11/04/2008 Kích thước: 36Kb Mức độ phá hoại: Trung bình Nguy cơ: Làm giảm mức độ an ninh của hệ thống. Hiện tượng: Sửa registry. Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của windows : RegistryTool, TaskMgr, Cách thức lây nhiễm: Phát tán qua trang web. Tự động lây nhiễm vào USB. Cách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật: Ghi giá trị “Flashy Bot”=”%SysDir%\Flashy.exe” Vào key HKLM\ \Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir% và %StartUp% Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư mục tìm được. Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy. Tắt service : SharedAccess, bật service : Telnet Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa : d,e,f,g,h,i,j nếu tồn tại các ổ đĩa này. Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử dụng một vài tiện ích của windows : RegistryTool, TaskMgr, Đổi mật khẩu của acc administrator thành hacked . W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm, W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware, W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm, W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm. ngày: W32.VtLikeT.PE, W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm, W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm,. W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm, W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm, W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm, W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan