 worm vào Resource của file tìm được, làm các file thực thi đã pack đều không chạy được. Chuyên viên phân tích : Nguyễn Công Cường 13. Phát hành lần thứ 2 ngày 31/05/2008, cập nhật Indiane, MsiupA, KavoADX, CinmusEA, CPushD, FarfliBB, GamesOnDllA Malware cập nhật mới nhất:  Tên malware: W32.Indiane.Worm  Thuộc họ: W32.Indiane.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 31/05/2008  Kích thước: 327Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry.  Hiển thị 1 bức ảnh bông hồng khi vào ie  Hiện 1 hộp thông báo chứa nội dung bài hát ấn độ khi đăng nhập vào windows.  Không sử dụng được một vài chương trình và tiện ích của windows : notepad, regedit, msconfig, taskmgr,  Mất các menu : Run, Search,  Không hiện được các file ẩn, file hệ thống. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Ghi giá trị “WinUp”, "RsWin" Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Run Sửa các key : "Shell", "Userinit" để virus được kích hoạt mỗi khi Windows khởi động  Xóa key không cho người dùng hiện các file ẩn và file hệ thống.  Ghi key debugger để chạy file virus thay vì chạy các file : Regedit.exe, Msconfig.exe, taskmgr.exe, ntvdm.exe, rstrui.exe  Ghi key hiện hộp thoại chứa bài hát "Kata Mutiara" mỗi khi đăng nhập vào windows.  Copy bản thân thành các file vào thư mục hệ thống, ghi đè lên file Winrar.exe.  Copy bản thân kèm theo file Autorun.inf vào tất cả các ổ đĩa.  Tìm các thư mục ở ổ đĩa gốc, tạo file exe trùng tên thư mục rồi ẩn chính thư mục đó.  Tắt các process : cmd.exe, command.com, command.exe, ntvdm.exe, msconfig.exe, procexp.exe, HijackThis.exe rstrui.exe, notepad.exe, regedit.exe, taskmgr.exe, killbox.exe, SysMech6.exe, IoloSGCtrl.exe, SystemGuardAlerter.exe  Xóa tất cả các file trong thư mục : progra~1\antivi~1\*.* progra~1\ESET\*.* pccill~1\*.* iolo\*.* norton~1\*.* norton~2\*.* msav\*.* norman\*.* pav\*.* mcafee.com\VSO\*.* mcafee~1\*.* mcafee.com\agent\*.* mcafee.com\*.* kasper~2\*.* mcafee\*.* antivi~1\*.* antivi~2\*.* antiviru\*.* avg\*.* kasper~1\*.* progra~1\antivi~2\*.* progra~1\avg\*.* progra~1\kasper~1\*.* progra~1\kasper~2\*.* progra~1\mcafee\*.* progra~1\McAfee.com\agent\*.* progra~1\McAfee.com\\*.* progra~1\McAfee.com\VSO\*.* progra~1\mcafee~1\*.* progra~1\mindso~1\*.* progra~1\norman\*.* progra~1\norton~1\*.* progra~1\norton~2\*.* progra~1\pandas~1\*.* Progra~1\Alwils~1\*.* progra~1\iolo\*.* pc-cil~1\*.* progra~1\mcafee.com\agent\*.* progra~1\mcafee.com\*.* progra~1\mcafee.com\VSO\*.* Chuyên viên phân tích : Nguyễn Công Cường 14. Bkav 1705 - Phát hành lần thứ 1 ngày 11/06/2008, cập nhật XorerR, Brute, AmvoYE, MmvoXA, DashfarC, DashferAE, FialaM, HacktoolO Malware cập nhật mới nhất:  Tên malware: W32.FialaM.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 10/06/2008  Kích thước: 27Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online.  Bị Hacker chiếm quyền điều khiển từ xa. Hiện tượng:  Sửa registry.  Không sử dụng được một số chương trình Antivirus, một vài tiện ích của Windows và một vài chương trình khác.  Không hiện được các file có thuộc tính ẩn.  Hiện các popup quảng cáo gây khó chịu.  Vào Yahoo Messenger một lúc thì bị thông báo Send/Don't Send và không sử dụng được.  Có thể bị sập toàn bộ mạng LAN (không truy cập vào Internet được). Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Giả mạo Gateway để phát tán link độc có chứa virus. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Copy bản thân thành file có tên "wuauc1t.exe" và "Explorer.exe" vào thư mục %SysDir%  Copy bản thân thành file có tên "MSDN.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi giá trị "IEXPLORER" vào key HKLM\ \Run, sửa giá trị "Shell" trong key HKLM\ \Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360rpt.EXE, 360safe.EXE, 360tray.EXE, AVP.EXE, AvMonitor.EXE, CCenter.EXE, IceSword.EXE, Iparmor.EXE, KVMonxp.kxp, KVSrvXP.EXE, KVWSC.EXE, Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường 15. Bkav1777 - Phát hành lần thứ 2 ngày 19/07/2008, cập nhật LogoOneAH, OnLGamesTD, AmvoBW, KavoACR, KxvoAR, KxvoARDll Malware cập nhật mới nhất: . trong key HKLM Winlogon để virus được kích hoạt mỗi khi windows khởi động.  Ghi key debugger để chạy file của virus thay vì chạy các file : 360 rpt.EXE, 360 safe.EXE, 360 tray.EXE, AVP.EXE, AvMonitor.EXE,. Iparmor.exe, 360 rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition. "Userinit" để virus được kích hoạt mỗi khi Windows khởi động  Xóa key không cho người dùng hiện các file ẩn và file hệ thống.  Ghi key debugger để chạy file virus thay vì chạy các