Tham khảo tài liệu 'bách khoa antivirus-đặc điểm các virus part 29', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
AMBIENT/
Chủ đề:
Nội dung Text: Bách Khoa Antivirus-Đặc Điểm Các Virus part 29
- Bị Hacker chiếm quyền điều khiển từ xa.
Hiện tượng:
Sửa registry.
Không sử dụng được một số chương trình Antivirus, một vài tiện ích của
Windows và một vài chương trình khác.
Không hiện được các file có thuộc tính ẩn.
Hiện các popup quảng cáo gây khó chịu.
Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không
sử dụng được.
Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được).
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Giả mạo Gateway để phát tán link độc có chứa virus.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư
mục %SysDir%
Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào
tất cả các ổ đĩa.
Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell" trong
key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows khởi
động.
Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE,
360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE,
IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE,
KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe,
TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe,
ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe,
KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE,
RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
- Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus,
Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
Xóa key không cho người dùng khởi động vào chế độ Safe mode
Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.
Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
Download malware từ các link :
http://xni[removed]i.com/1.exe
...................................................
http://xni[removed]i.com/10.exe
Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
(http://w.xnibi.co[removed]/index.gif, ...)
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE), ...
Chuyên viên phân tích : Nguyễn Công Cường
Bkav2054 (15/12/2008) cập nhật lần thứ 1: ExpPatch, DashferLA...
Malware cập nhật mới nhất:
Tên malware: W32.DashferLA.PE
Thuộc họ: W32.Dashfer.PE
Loại: PE
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 12/12/2008
Kích thước: 165Kb
Mức độ phá hoại: Cao
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Không vào được chế độ safe mode của Windows.
Xuất hiện popup các trang web tiếng Trung Quốc.
Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:
Phát tán qua trang web.
- Tự động lây nhiễm qua USB.
Lây qua các file thực thi.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Xóa các key :
HKLM\...\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-
08002BE10318}
HKLM\...\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-
08002BE10318}
làm cho máy tính không khởi động được trong chế độ safemode.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và
~.exe vào thư mục Startup
để virus được thực thi khi khởi đông hệ thống.
Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.
Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
Sửa key làm mất checkbox để hiển thị các file hệ thống.
Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào
tất cả các ổ đĩa.
Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch,
kissvc, scan, guard.
Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên
máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống.
Chuyên viên phân tích : Nguyễn Ngọc Dũng
Một số malware đáng chú ý cập nhật cùng ngày: W32.ExpPatch.PE,
W32.FialaLN.Worm, W32.Sockkey.Trojan, W32.VbsKer.Worm,
W32.XpackT.PE, W32.BootDCOM.Worm, W32.FakeAntiVRM.Adware,
W32.VundoS1A.Trojan, W32.Cahtos.Worm...
- Bkav2056 - Phát hành lần thứ 1 ngày 16/12/2008, cập nhật
FialaJO, AmvaBB, JvsoftAB, SecretPH, VamsoftB, OngameA2J...
Malware cập nhật mới nhất:
Tên malware: W32.SecretPH.Worm
Thuộc họ: W32.Secret.Worm
Loại: Worm
Xuất xứ: Việt Nam
Ngày phát hiện mẫu: 15/12/2008
Kích thước: 118Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Sửa giá trị
“Userinit” và "Shell"
của key HKLM\...\Windows NT\CurrentVersion\Winlogon để virus được
kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và
"Userinit.exe" vào thư mục %WinDir%
Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào
ổ USB để phát tán.
Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file :
%WinDir%\kdcoms.dll
Chuyên viên phân tích : Tô Đình Hiệp
- Phát hành lần thứ 2 ngày 16/12/2008, cập nhật
BootDH, ConthinC, ReaderAC, FakeServicesJK, HotbarJA...
Malware cập nhật mới nhất:
Tên malware: W32.FakeServicesJK.Worm
Thuộc họ: W32.FakeServices.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 15/12/2008
Kích thước: 166 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Không thay đổi được trang chủ của Internet Explorer