Bách Khoa Antivirus-Đặc Điểm Các Virus part 29

Chia sẻ: Qweqwdasd Dwqdqd | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

57
lượt xem 2
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tham khảo tài liệu 'bách khoa antivirus-đặc điểm các virus part 29', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bách Khoa Antivirus-Đặc Điểm Các Virus part 29

 Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng:  Sửa registry.  Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác.  Không hiện được các file có thuộc tính ẩn.  Hiện các popup quảng cáo gây khó chịu.  Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được.  Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%  Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi giá trị "IEXPLORER" vào key HKLM\...\Run, sửa giá trị "Shell" trong key HKLM\...\Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe
 Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe ................................................... http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ...) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), ... Chuyên viên phân tích : Nguyễn Công Cường Bkav2054 (15/12/2008) cập nhật lần thứ 1: ExpPatch, DashferLA... Malware cập nhật mới nhất:  Tên malware: W32.DashferLA.PE  Thuộc họ: W32.Dashfer.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 12/12/2008  Kích thước: 165Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Không vào được chế độ safe mode của Windows.  Xuất hiện popup các trang web tiếng Trung Quốc.  Mất checkbox để hiển thị các file hệ thống. Cách thức lây nhiễm:  Phát tán qua trang web.
 Tự động lây nhiễm qua USB.  Lây qua các file thực thi. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Xóa các key : HKLM\...\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1- 08002BE10318} HKLM\...\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1- 08002BE10318} làm cho máy tính không khởi động được trong chế độ safemode. HKLM\Software\Microsoft\Windows\CurrentVersion\Run  Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup để virus được thực thi khi khởi đông hệ thống.  Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.  Dump ra các file : %SysDir%\Com\smss.exe %SysDir%\Com\netcfg.dll %SysDir%\Com\netcfg.000 %SysDir%\Drivers\Alg.exe  Sửa key làm mất checkbox để hiển thị các file hệ thống.  Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard.  Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :  Lây nhiễm vào các file thực thi tìm được trong máy trừ ổ đĩa hệ thống. Chuyên viên phân tích : Nguyễn Ngọc Dũng Một số malware đáng chú ý cập nhật cùng ngày: W32.ExpPatch.PE, W32.FialaLN.Worm, W32.Sockkey.Trojan, W32.VbsKer.Worm, W32.XpackT.PE, W32.BootDCOM.Worm, W32.FakeAntiVRM.Adware, W32.VundoS1A.Trojan, W32.Cahtos.Worm...
Bkav2056 - Phát hành lần thứ 1 ngày 16/12/2008, cập nhật FialaJO, AmvaBB, JvsoftAB, SecretPH, VamsoftB, OngameA2J... Malware cập nhật mới nhất:  Tên malware: W32.SecretPH.Worm  Thuộc họ: W32.Secret.Worm  Loại: Worm  Xuất xứ: Việt Nam  Ngày phát hiện mẫu: 15/12/2008  Kích thước: 118Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Sửa giá trị “Userinit” và "Shell" của key HKLM\...\Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và "Userinit.exe" vào thư mục %WinDir%  Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào ổ USB để phát tán.  Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%\kdcoms.dll Chuyên viên phân tích : Tô Đình Hiệp
Phát hành lần thứ 2 ngày 16/12/2008, cập nhật BootDH, ConthinC, ReaderAC, FakeServicesJK, HotbarJA... Malware cập nhật mới nhất:  Tên malware: W32.FakeServicesJK.Worm  Thuộc họ: W32.FakeServices.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 15/12/2008  Kích thước: 166 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Không thay đổi được trang chủ của Internet Explorer