Bách Khoa Antivirus-Đặc Điểm Các Virus part 7

Tham khảo tài liệu bách khoa antivirus-đặc điểm các virus part 7, công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Bách Khoa Antivirus-Đặc Điểm Các Virus part 7 Tên malware: W32.LogoOneAH.PE Thuộc họ: W32.LogoOne.PE Loại: PE Xuất xứ: Trung Quốc Ngày phát hiện mẫu: 19/07/2008 Kích thước: 61Kb Mức độ phá hoại: CaoNguy cơ: Ăn cắp thông tin cá nhân. Lây file Làm giảm mức độ bảo mật của hệ thống.Hiện tượng: Sửa registry. Dừng các chương trình diệt virus Làm chậm hệ thống. Mất icon của các file .exeCách thức lây nhiễm: Phát tán qua trang web, phần mềm miễn phí. Phát tán qua các tài nguyên chia sẻ mạng nội bộCách phòng tránh: Không nên vào các trang web cung cấp các phần mềm crack, hack,các trang web đen, độc hại Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các filecó đuôi .exe .com .pif và .bat Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặtpassword truy cập nếu muốn chia sẻ quyền sửa và tạo file.Mô tả kỹ thuật: Ghi giá trịload = %WinDir%uninstall undl132.exevào key HKLMSoftwareMicrosoftWindowsCurrentVersionRun để chạyvirus mỗi khi windows được khởi động Kiểm tra đã tồn tại key[HKLMSOFTWARESoftDownloadWWW]với giá trị auto = 1 làm dấu hiệu xác định xem virus lây nhiễm chưa. Copy chính nó vào%Windir% Logo1_.exe%Windir%uninstall undl132.exe Drop ra file: %WinDir%RichDll.dll Ghi ngày lây nhiễm vào file C:\_desktop.ini Lây file bằng cách ghi code virus vào trước file gốc. Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y. Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong cácthư mục shared Không lây những file đường dẫn có chứa:• Program Files• Common Files• ComPlus Applications• Documents and Settings• InstallShield Installation Information• Internet Explorer• Messenger• Microsoft Frontpage• Microsoft Office• Movie Maker• MSN• MSN Gaming Zone• NetMeeting• Outlook Express• Recycled• system• System Volume Information• system32• windows• Windows Media Player• Windows NT• WindowsUpdate• winnt Kill các services và chương trình diệt virus:• Kingsoft AntiVirus Service• EGHOST.EXE• IPARMOR.EXE• KAVPFW.EXE• MAILMON.EXE• mcshield.exe • RavMon.exe • RavMonClass • Ravmond.EXE • regsvc.exe Chuyên viên phân tích : Nguyễn Công Cường16. Phát hành lần thứ 2 ngày 23/07/2008, cập nhật ZlobSetL, MutantI, ProxyG, SecretMA, ZhelatinRB, DowlodTB... Malware cập nhật mới nhất:  Tên malware: W32.SecretMA.Worm  Thuộc họ: W32.Secret.Worm  Loại: Worm  Xuất xứ: Việt Nam  Ngày phát hiện mẫu: 23/07/2008  Kích thước: 109Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Sửa giá trị “Userinit” và Shell của key HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên system.exe vào thư mục %SysDir% và Userinit.exe vào thư mục %WinDir%  Copy bản thân thành file có tên Secret.exe kèm theo file Autorun.inf vào ổ USB để phát tán.  Ghi lại các cửa sổ đã mở và các phím đã ấn, lưu vào file : %WinDir%kdcoms.dll Chuyên viên phân tích : Nguyễn Công Cường17. Bkav1788 (23/07/2008) cập nhật lần thứ 1: YMxman, AutoVbsK... Malware cập nhật mới nhất:  Tên malware: W32.YMxman.Worm  Thuộc họ: W32.YMxman.Worm  Loại: Worm  Xuất xứ : Việt Nam.  Ngày phát hiện mẫu: 23/07/2008  Kích thước: 202 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống.  Làm chậm máy tính.  Gây khó chịu khi sử dụng Yahoo Messenger.  Hacker có thể chiếm quyền điều khiển các máy tính bị nhiễm virus. Hiện tượng:  Registry bị thay đổi.  Title của IE bị đổi thành : (¯`v´¯) Welcome http://v[removed]n.vn  Tự động vào trang http://quy[removed]utu.com/111zzz mỗi khi bật IE.  Gửi các thông điệp qua cửa sổ Yahoo messenger: Phim pha trinh ne http://qu[removed]utu.com/parishillton/ SEX MOVIE HOT http://qu[removed]tu.com/parishillton/ Phim sex Ho Ngoc Ha ne http://qu[removed]utu.com/parishillton/ Phim pha trinh ne http://qu[removed]utu.com/parishillton/ Hoc sinh dong phim sex ne http://qu[removed]utu.com/parishillton/ Phim cuong hiep ne http://qu[removed]utu.com/parishillton/ Phim sex Trieu Vy ne http ...