Bách Khoa Antivirus-Đặc Điểm Các Virus part 5

Tham khảo tài liệu bách khoa antivirus-đặc điểm các virus part 5, công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Bách Khoa Antivirus-Đặc Điểm Các Virus part 5 Tên malware: W32.QhostA.Trojan Thuộc họ: W32.Qhost.Trojan Loại: Trojan Xuất xứ: Nước ngoài Ngày phát hiện mẫu: 17/04/2008 Kích thước: 83 Kb Mức độ phá hoại: Trung bìnhNguy cơ: Làm giảm mức độ an ninh của hệ thống.Hiện tượng: Không cho người sử dụng truy cập vào các trang web: mcafee.com,kaspersky.com, avast.com...Cách thức lây nhiễm: Phát tán qua các trang web.Cách phòng tránh: Không nên truy cập vào các trang web độc hại, phần mềm miễn phí.Mô tả kỹ thuật: Copy bản thân vào file %SysDir%iexplore.exe và tạo key run đểkhởi động mỗi khi bật máy [HKLM...WindowsCurrentVersionRun]Microsoft Internet Explorer = %SysDir%iexplore.exe Dump ra các fileo %SysDir%\%random_name%.exe được phát hiện là QhostADmp.Sửa file host để ngăn không cho người dùng truy nhập vào các trang: 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads5.kaspersky-labs.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 www.avp.com 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 avp.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 nai.com 127.0.0.1 www.nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 vncsvr.com 127.0.0.1 secdreg.org 127.0.0.1 virusscan.jotti.org 127.0.0.1 virustotal.com 127.0.0.1 dnl-eu12.kaspersky-labs.com 127.0.0.1 dnl-eu13.kaspersky-labs.com 127.0.0.1 dnl-cd1.kaspersky-labs.com 127.0.0.1 dnl-ru1.kaspersky-labs.com 127.0.0.1 dnl-ru2.kaspersky-labs.com 127.0.0.1 dnl-ru5.kaspersky-labs.com  127.0.0.1 dnl-cn1.kaspersky-labs.com  127.0.0.1 liveupdatesnet.com  ... o %SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi key run: [HKLM...WindowsCurrentVersionRun] với giá trị Advanced DHTML Enable = %SysDir%\%random_name%.exe Chuyên viên phân tích : Tô Đình Hiệp11. Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB... Malware cập nhật mới nhất:  Tên malware: W32.Wycali.Worm  Thuộc họ: W32.Wycali.Worm  Loại: Worm  Xuất xứ: Trung Quốc  Ngày phát hiện mẫu: 22/05/2008  Kích thước: 9Kb  Mức độ phá hoại: Cao Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Mất các file .GHO  Làm hỏng một số file chương trình. Hiện tượng:  Sửa registry.  Không sử dụng được một vài chương trình antivirus. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB.  Lây qua các file thực thi. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Tắt các process : avp.exe, kvsrvxp.exe, kissvc.exe  Kiểm tra nếu có process : avp.exe thì đặt lại năm hệ thống thành 2004.  Xóa tất cả các file .GHO  Tìm và lây nhiễm tất cả các file exe ngoại trừ : qq.exe, QQDoctor.exe, QQDoctorMain.exe. Đổi tên session cuối thành .WYCao nên một số chương trình ứng dụng sẽ không chạy được.  Download file config từ link : http://x.u[removed]-01.net/x.txt  Đọc file config, nếu sau từ khóa InfeWeb: có đường link thì ghi link đó vào cuối tất cả các file có đuôi : .do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, .cgi, .xml  Download trojan OnlineGames từ các link : http://1.fo[removed]00.net/a1.exe ...................... http://1.fo[removed]d00.net/a36.exe Chuyên viên phân tích : Nguyễn Công Cường ...