 Tên malware: W32.LogoOneAH.PE  Thuộc họ: W32.LogoOne.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 19/07/2008  Kích thước: 61Kb  Mức độ phá hoại: Cao Nguy cơ:  Ăn cắp thông tin cá nhân.  Lây file  Làm giảm mức độ bảo mật của hệ thống. Hiện tượng:  Sửa registry.  Dừng các chương trình diệt virus  Làm chậm hệ thống.  Mất icon của các file .exe Cách thức lây nhiễm:  Phát tán qua trang web, phần mềm miễn phí.  Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật:  Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.  Copy chính nó vào %Windir%\ Logo1_.exe %Windir%\uninstall\rundl132.exe  Drop ra file: %WinDir%\RichDll.dll  Ghi ngày lây nhiễm vào file C:\_desktop.ini  Lây file bằng cách ghi code virus vào trước file gốc.  Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.  Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared  Không lây những file đường dẫn có chứa: • \Program Files\ • Common Files • ComPlus Applications • Documents and Settings • InstallShield Installation Information • Internet Explorer • Messenger • Microsoft Frontpage • Microsoft Office • Movie Maker • MSN • MSN Gaming Zone • NetMeeting • Outlook Express • Recycled • system • System Volume Information • system32 • windows • Windows Media Player • Windows NT • WindowsUpdate • winnt  Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE • mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường 16. Phát hành lần thứ 2 ngày 23/07/2008, cập nhật ZlobSetL, MutantI, ProxyG, SecretMA, ZhelatinRB, DowlodTB Malware cập nhật mới nhất:  Tên malware: W32.SecretMA.Worm  Thuộc họ: W32.Secret.Worm  Loại: Worm  Xuất xứ: Việt Nam  Ngày phát hiện mẫu: 23/07/2008  Kích thước: 109Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Sửa giá trị “Userinit” và "Shell" của key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên "system.exe" vào thư mục %SysDir% và "Userinit.exe" vào thư mục %WinDir%  Copy bản thân thành file có tên "Secret.exe" kèm theo file "Autorun.inf" vào ổ USB để phát tán.  Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%\kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường 17. Bkav1788 (23/07/2008) cập nhật lần thứ 1: YMxman, AutoVbsK Malware cập nhật mới nhất:  Tên malware: W32.YMxman.Worm  Thuộc họ: W32.YMxman.Worm  Loại: Worm  Xuất xứ : Việt Nam.  Ngày phát hiện mẫu: 23/07/2008  Kích thước: 202 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Làm chậm máy tính.  Gây khó chịu khi sử dụng Yahoo Messenger.  Hacker có thể chiếm quyền điều khiển các máy tính bị nhiễm virus. Hiện tượng:  Registry bị thay đổi.  Title của IE bị đổi thành : " (¯`v´¯) Welcome http://v[removed]n.vn"  Tự động vào trang http://quy[removed]utu.com/111zzz mỗi khi bật IE.  Gửi các thông điệp qua cửa sổ Yahoo messenger: " Phim pha trinh ne http://qu[removed]utu.com/parishillton/" " SEX MOVIE HOT http://qu[removed]tu.com/parishillton/" " Phim sex Ho Ngoc Ha ne http://qu[removed]utu.com/parishillton/" " Phim pha trinh ne http://qu[removed]utu.com/parishillton/" " Hoc sinh dong phim sex ne http://qu[removed]utu.com/parishillton/" " Phim cuong hiep ne http://qu[removed]utu.com/parishillton/" " Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/" " Phim sex Phuong Thanh ne http://qu[removed]utu.com/parishillton/" " Hoa hau dong phim sex ne http://qu[removed]utu.com/parishillton/" " Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/" Cách thức lây nhiễm:  Phát tán qua các công cụ chat Yahoo Messenger. Cách phòng tránh:  Không nên mở các liên kết lạ nhận được qua Yahoo Messenger.  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại. Mô tả kỹ thuật:  Ghi giá trị “Task Manager”=”C:\WINDOWS\taskmng.exe” Vào key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động  Ghi các giá trị "DisableTaskMgr" "DisableRegistryTools" Vào key HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System để ngăn không cho người dùng sử dụng TaskManager và Registry Editor  Copy bản thân thành các files : %WinDir%\taskmng.exe  Ghi key đổi title của IE thành : " (¯`v´¯) Welcome http://v[removed]n.vn".  Đặt lại StartPage của IE thành : http://quy[removed]utu.com/111zzz  Download file từ đường link : http://quy[removed]tu.com/111zzz/software.exe . ấn, lưu vào file : %WinDir%kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường 17. Bkav 178 8 (23/ 07/ 2008) cập nhật lần thứ 1: YMxman, AutoVbsK Malware cập nhật mới nhất:  Tên malware:. • Windows NT • WindowsUpdate • winnt  Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE •. HKLMSoftwareMicrosoftWindowsCurrentVersionRun để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại key [HKLMSOFTWARESoftDownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm