administrator Bộ Trưởng Quân Đội Cao Cấp - Bộ Chỉ Huy
Tổng số bài gửi : 348 Age : 36 Location : HCM Registration date : 08/10/2007
| Tiêu đề: Bản Tin Virus 14- 03 - 2008 ! Fri Mar 14, 2008 8:24 pm | |
| Bkav1548 (14/03/2008) cập nhật lần thứ 1: DashferEI, Rofinu... | 09:27:03, 14/03/2008 | | Malware cập nhật mới nhất:
- Tên malware: W32.AutorunH.Worm
- Thuộc họ: W32.Autorun.Worm
- Loại: Worm
- Ngày phát hiện mẫu: 13/03/2008
- Kích thước: 75.3 Kb
- Mức độ phá hoại: Trung bình
Nguy cơ:
- Lấy cắp thông tin cá nhân
- Làm giảm mức độ an ninh của hệ thống.
- Cài thêm virus khác vào hệ thống
Hiện tượng:
- Sửa registry.
- Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows
- Bật các popup quảng cáo từ trang http://www.me[removed].com
- Tự động download các trojan về máy
- Xóa bản thân sau khi chạy
Cách thức lây nhiễm:
- Phát tán qua USB, các ổ đĩa chia sẻ
Cách phòng tránh:
- Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat.
- Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.
- Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
- Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
Mô tả kỹ thuật:
- Tạo ra các bản sao của nó:
- %Program Files%\meex.exe
- %Program Files%\Common Files\Microsoft Shared\apgefvc.exe ( là bản sao của nó)
- %Program Files%\Common Files\System\nluoyvq.exe
Tắt chương trình Kaspersky AntiVirus Xóa key "HKLM\...\CurrentVersion\Run\AVP" không cho KAV chạy khi hệ thống khởi động. Ghi giá trị: adgiygu="%Program Files%\Common Files\Microsoft Shared\apgefvc.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động. gsvlnlo="%Program Files%\Common Files\Microsoft Shared\nluoyvq.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động.
- Lây nhiễm qua các ổ USB, ổ mạng:
- Copy bản thân vào các ổ với tên "adgiygu.exe", tạo file autorun.inf để chạy mỗi khi mở ổ đó ra
Tải về máy file text chứa link down các trojan khác từ trang : http://www.webe[removed]b.com/ReadDown.txt
Bật các popup quảng cáo từ trang http://www.me[removed].com Ghi giá trị "Debugger" = "%Program Files%\Common Files\Microsoft Shared\apgefvc.exe" vào các key HKLM\...\CurrentVersion\Image File Execution Options\ để chạy file virus thay vì chạy các file : Ras.exe avp.com avp.exe runiep.exe PFW.exe FYFireWall.exe rfwmain.exe rfwsrv.exe KAVPF.exe KPFW32.exe ...
Chuyên viên phân tích : Nguyễn Quốc Nhân Một số malware đáng chú ý cập nhật cùng ngày: W32.AutorunAR.Worm, W32.DashferEI.Worm, W32.DphiLoader.Worm, W32.DphiLoaderB.Worm, W32.AlexaF.Adware, W32.AmvaSC.Worm, W32.AutorunH.Worm, W32.ASPDodo.Worm, W32.DownloaderCK.Worm, W32.DownloaderCM.Worm, W32.FakeServiceF.Worm, W32.GhostB.Worm, W32.Rofinu.Trojan... |
| |
|