 Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE, Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE, WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE, VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE, Runiep.EXE, GuardField.EXE, GFUpd.EXE  Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe, UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe, VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp, kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE, RAVMON.EXE, RAVMOND.EXE, GuardField.exe, Ravxp.exe, GFUpd.exe  Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào chế độ Safe mode  Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ thống.  Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe  Download malware từ các link : http://xni[removed]i.com/1.exe http://xni[removed]i.com/10.exe  Các malware này bao gồm: o Trojan giả mạo gateway để phát tán virus qua link độc (http://w.xnibi.co[removed]/index.gif, ) o Downloader (tải về rất nhiều malware khác) o Keylogger (ăn cắp mật khẩu Games Online) o Adware (popup các trang web quảng cáo, sửa StartPage của IE), Chuyên viên phân tích : Nguyễn Công Cường 21. Bkav1892 - Phát hành lần thứ 1 ngày 18/09/2008, cập nhật HupigonBC, SoberB, CinmusXT, LogoOneXC, FialaDK, DakNongHB Malware cập nhật mới nhất:  Tên malware: W32.LogoOneXC.PE  Thuộc họ: W32.LogoOne.PE  Loại: PE  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 17/09/2008  Kích thước: 61Kb  Mức độ phá hoại: Cao Nguy cơ:  Ăn cắp thông tin cá nhân.  Lây file  Làm giảm mức độ bảo mật của hệ thống. Hiện tượng:  Sửa registry.  Dừng các chương trình diệt virus  Làm chậm hệ thống.  Mất icon của các file .exe Cách thức lây nhiễm:  Phát tán qua trang web, phần mềm miễn phí.  Phát tán qua các tài nguyên chia sẻ mạng nội bộ Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file. Mô tả kỹ thuật:  Ghi giá trị "load" = %WinDir%\uninstall\rundl132.exe vào key HKLM\ \Windows\CurrentVersion\Run để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại key [HKLM\SOFTWARE\Soft\DownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.  Copy chính nó vào %Windir%\ Logo1_.exe %Windir%\uninstall\rundl132.exe  Drop ra file: %WinDir%\RichDll.dll  Ghi ngày lây nhiễm vào file C:\_desktop.ini  Lây file bằng cách ghi code virus vào trước file gốc.  Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.  Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các thư mục shared  Không lây những file đường dẫn có chứa: • \Program Files\ • Common Files • ComPlus Applications • Documents and Settings • InstallShield Installation Information • Internet Explorer • Messenger • Microsoft Frontpage • Microsoft Office • Movie Maker • MSN • MSN Gaming Zone • NetMeeting • Outlook Express • Recycled • system • System Volume Information • system32 • windows • Windows Media Player • Windows NT • WindowsUpdate • winnt  Kill các services và chương trình diệt virus: • "Kingsoft AntiVirus Service" • EGHOST.EXE • IPARMOR.EXE • KAVPFW.EXE • MAILMON.EXE • mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường 22. Bkav 1898 - Phát hành lần thứ 2 ngày 20/09/2008, cập nhật Zhido, BeepSysB, BrontokHD, FakeAlertEA, PWSStealBJ, VikingAB Malware cập nhật mới nhất:  Tên malware: W32.FakeAlertEA.Adware  Thuộc họ:W32.FakeAlert.Adware  Loại: Adware  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 20/09/2008  Kích thước: 204 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Mất các thông tin cá nhân. Hiện tượng:  Wallpaper được thay bằng một cảnh báo virus (giả) và không thể thay đổi được  Xuất hiện các cảnh báo virus (giả) liên tục.  Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả). Cách thức lây nhiễm:  Phát tán qua trang web lừa đảo. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.  Không nên vào các trang rao bán chương trình diệt virus mà không rõ nguồn gốc Mô tả kỹ thuật:  Tạo bản sao của chính nó vào thư mục %SysDir%  Tạo ra file có tên ngẫu nhiên, ví dụ %SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper, hiển thị cảnh báo virus (giả)  Sửa giá trị của các khóa "Wallpaper", "OriginalWallpaper" và "ConvertedWallpaper" trong khóa "HKCU\Control Panel\Desktop" thành "%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper của Windows.  Ghi các giá trị "lphcns0j0e1av" = "%SysDir%\lphcns0j0e1av.exe" vào khóa "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" để virus có thể khởi động cùng Windows  Thả ra tập tin screen saver có hình dạng màn hình xanh chết chóc để đánh lừa cảm giác của người sử dụng  Sử dụng website www.anti-[remove]2008.net làm homepage giả mạo. Chuyên viên phân tích : Lê Anh Vũ Hà 23. Phát hành lần thứ 1 ngày 01/10/2008, cập nhật ARPspoofA, FialaFL, FilaoB, HosterO, LcassA, SecretFE Malware cập nhật mới nhất:  Tên malware: W32.FialaFL.Worm  Thuộc họ: W32.Fiala.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 30/09/2008  Kích thước: 18Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Bị ăn cắp mật khẩu tài khoản Game Online. . các service : McShield, KWhatchsvc, KPfwSvc, Symantec AntiVirus, Symantec AntiVirus Definition Watcher McAfee Framework, Norton AntiVirus Server  Xóa key không cho người dùng khởi động vào. bằng một cảnh báo virus (giả) và không thể thay đổi được  Xuất hiện các cảnh báo virus (giả) liên tục.  Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt virus (giả). Cách. WindowsCurrentVersionRun để chạy virus mỗi khi windows được khởi động  Kiểm tra đã tồn tại key [HKLMSOFTWARESoftDownloadWWW] với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây