Bách Khoa Antivirus-Đặc Điểm Các Virus part 3 pot
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (79.21 KB, 8 trang )
HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus được kích
hoạt mỗi khi Windows khởi động
Ghi các key HKLM\ \Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = "0" không cho hiện file ẩn
HKCU\ \CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKCU\ \CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKCU\ \CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" =
"0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa.
Tắt các cửa sổ cảnh báo của chương trình Kaspersky
Tắt process của các chương trình diệt virus KAV
Tiêm mã độc vào process : explorer.exe
Ăn cắp mật khẩu các game online.Tìm ổ USB và copy chính nó vào ổ đĩa ấy
thành file "pnc.exe", ghi thêm file "autorun.inf" để virus lây lan
Chuyên viên phân tích : Ngô Quốc Hoàn
Một số malware đáng chú ý cập nhật cùng ngày: W32.DashferET.PE,
W32.Zelantine.Trojan, W32.BraveSentryE.Worm, W32.DropperHK.Worm,
W32.DropperHM.Worm, W32.Hillin.Worm, W32.PeedJ.Worm,
W32.SocksG.Worm, W32.AmvaSK.Worm, W32.VundoAS.Adware,
W32.WinfixerM.Trojan, W32.SoundManA.Worm, W32.ZhiDaoA.Worm,
W32.AVKillerQD.Worm, W32.Boom.Worm, W32.MiVN.Worm
Bkav1599 (10/04/2008) cập nhật lần thứ 2: Svchot, Spyde
Malware cập nhật mới nhất:
Tên malware: W32.Spyde.Worm
Thuộc họ: W32.Spyde.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 10/04/2008
Kích thước: 20Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Windows title của ie bị đổi thành : Hacked by Spiderman~~!!! (2007-June-10)
Thay đổi các link trong favorites của ie.
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
Ghi giá trị
“MicrosoftComboBoxControl”=”C:\Windows\comboClt.ocx.vbs”
Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run để virus
được kích hoạt mỗi khi Windows khởi động
Copy bản thân thành file có tên "comboClt.ocx.vbs" vào thư mục
%WinDir%
Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa.
Đặt lại windows title của ie thành : Hacked by Spiderman~~!!! (2007-June-10)
Thay đổi các linh trong favorites của ie thành :
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
www.You were Hacked by Spiderman~~!!! (2007-June-10)
http://You were Hacked by Spiderman~~!!! (2007-June-10)
were Hacked by Spiderman~~!!! (2007-June-10)
google.You were Hacked by Spiderman~~!!! (2007-June-10)
yahoo.You were Hacked by Spiderman~~!!! (2007-June-10)
msn.You were Hacked by Spiderman~~!!! (2007-June-10)
baidu.You were Hacked by Spiderman~~!!! (2007-June-10)
microsoft.You were Hacked by Spiderman~~!!! (2007-June-10)
hotmail.You were Hacked by Spiderman~~!!! (2007-June-10)
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm,
W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm,
W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan
Bkav1600 (11/04/2008) cập nhật lần thứ 1: FakeExplorer, Ekoqo
Malware cập nhật mới nhất:
Tên malware: W32.FakeExplorer.Worm
Thuộc họ: W32.FakeExplorer.Worm
Loại: Worm
Xuất xứ: Trung Quốc
Ngày phát hiện mẫu: 10/04/2008
Kích thước: 20 Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Cài thêm virus/spyware vào hệ thống
Hiện tượng:
Không chạy được các chương trình Anti Virus, các chương trình hệ thống
Cách thức lây nhiễm:
Lây nhiễm qua các trang hack, crack, các trang web đen, độc hại
Lây nhiễm qua các virus khác download về máy
Lây nhiễm qua ổ USB, ổ mạng
Cách phòng tránh:
Không nên mở các file đính kèm có phần mở rông exe, com, pif
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ
đĩa.
Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password
truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
Ghi giá trị:
IEXPLORER=%System%\iexplorer.exe vào key HKLM\ \Run
DisableTaskMgr=1vào key HKCU\ \Policies\System
Tạo ra các files:
%System%\iexplorer.exe (bản sao của virus)
%System%\wuauc1t.exe (bản sao của virus)
c:\explorer.exe (bản sao của virus)
Copy vào các ổ USB, ổ mạng với tên explorer.exe, tạo file autorun.inf để tự
chạy virus
Ghi thêm các giá trị vào key HKLM\SOFTWARE\ \Image File Execution
Options, ngăn không cho các chương trình sau chạy:
360rpt.EXE
360safe.EXE
360tray.EXE
ANTIARP.exe
Ast.EXE
AutoRunKiller.exe
AvMonitor.EXE
AVP.EXE
CCenter.EXE
Frameworkservice.EXE
IceSword.EXE
Iparmor.EXE
KASARP.exe
KRegEx.EXE
KVMonxp.kxp
KVSrvXP.EXE
KVWSC.EXE
Mmsk.EXE
Navapsvc.EXE
Nod32kui.EXE
Regedit.EXE
VPC32.exe
VPTRAY.exe
WOPTILITIES.EXE
Wuauclt.EXE
Kết nối đến trang j[Removed]8.com/dd để cập nhật danh sách và
download các virus khác về máy
Tạo các mutex để chỉ chạy một bản sao của virus:
__B_ZX
__B_MH
__B_DH
52D77ECE7B32424dB93B9A6EFBDDB0DF
Chuyên viên phân tích : Cao Minh Phương
Một số malware đáng chú ý cập nhật cùng ngày: W32.VtLikeT.PE,
W32.AutorunAU.Worm, W32.FakeSvcHostD.Worm,
W32.DownloadG.Worm, W32.DownloadL.Worm, W32.WsGameA.Worm,
W32.WsGameC.Worm, W32.SecretPNL.Worm, W32.UserinitPNL.Worm,
W32.FakeFax.Worm, W32.OnSysC.Worm, W32.Ekoqo.Trojan
Bkav1601 (11/04/2008) cập nhật lần thứ 2: FlashyC, AmvaX
Malware cập nhật mới nhất:
Tên malware: W32.FlashyC.Worm
Thuộc họ: W32.Flashy.Worm
Loại: Worm
Xuất xứ: Nước ngoài
Ngày phát hiện mẫu: 11/04/2008
Kích thước: 36Kb
Mức độ phá hoại: Trung bình
Nguy cơ:
Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Sửa registry.
Mất menu FolderOptions, không sử dụng được 1 vài tiện ích của windows :
RegistryTool, TaskMgr,
Cách thức lây nhiễm:
Phát tán qua trang web.
Tự động lây nhiễm vào USB.
Cách phòng tránh:
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang
web đen, độc hại
Mô tả kỹ thuật:
Ghi giá trị
“Flashy Bot”=”%SysDir%\Flashy.exe”
Vào key HKLM\ \Windows\CurrentVersion\Run để virus được kích hoạt
mỗi khi Windows khởi động
Copy bản thân thành file có tên "Flashy.exe" vào thư mục %SysDir% và
%StartUp%
Tìm các thư mục trong máy và tạo bản sao của virus trùng tên với thư mục
tìm được.
Tạo Mutex : ||Flashy|| để chỉ 1 virus cùng loại chạy trên 1 máy.
Tắt service : SharedAccess, bật service : Telnet
Copy bản thân thành file có tên "Flashy.exe" vào các ổ đĩa : d,e,f,g,h,i,j nếu
tồn tại các ổ đĩa này.
Ghi key làm mất menu FolderOptions, ngăn không cho người dùng sử dụng
một vài tiện ích của windows : RegistryTool, TaskMgr,
Đổi mật khẩu của acc administrator thành hacked
