Malware cập nhật mới nhất:
- Tên malware: W32.AutorunerIMC.Worm
- Thuộc họ: W32.Autorun.Worm
- Loại: Worm
- Xuất xứ: Nước ngoài
- Ngày phát hiện mẫu: 22/07/2010
- Kích thước: 696Kb
- Mức độ phá hoại: Trung bình
Nguy cơ:
- Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
Cách thức lây nhiễm:
- Phát tán qua trang web.
- Tự động lây nhiễm vào USB.
Cách phòng tránh:
- Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
- Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
- Copy bản thân thành file có tên msvcrt.bak vào thư mục cài đặt Internet Explorer
- Tạo ra các file:
- msvcrt.dll trong thư mục cài đặt Internet Explorer
- Relive.dll trong thư mục %CommonFiles%
- Ghi giá trị:
- {0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}="" vào key:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
- (Default)= "C:\Program Files\Internet Explorer\msvcrt.dll" vào key:
HKCR\CLSID\{0FAD2E16-C8EF-5AC1-1E6A-AE3FD8EF56B3}\InProcServer32\
- Tạo key:
HKLM\...\Browser Helper Objects\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}
và ghi giá trị (Default)="%CommonFiles%\Relive.dll" vào key:
HKCR\CLSID\{D3626E66-B13B-C628-ACDF-BDABCFA265E1}\InProcServer32\
- Virus tìm cách xóa các giá trị sau:
- {B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
- {131AB311-16F1-F13B-1E43-11A24B51AFD1}
- {274B93C2-A6DF-485F-8576-AB0653134A76}
- {1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
- ...
trong key HKLM\...\Explorer\ShellExecuteHooks
- Virus tìm cách xóa các file sau: smss.exe, csrss.exe, conime.exe, ctfmon.exe, stpgldk.exe, wdso.exe,
ztso.exe, tlso.exe, rxso.exe, srogm.exe... trong thư mục %Temp%
- Copy bản thân thành file Ghost.pif và tạo file autorun.inf trong các ổ đĩa USB để virus lây lan.
Chuyên viên phân tích : Trần Minh Quảng
Một số malware đáng chú ý cập nhật cùng ngày: W32.CleansweepXD.Trojan, W32.MyclientX.Trojan, W32.PhimeXA.Trojan, W32.TaskmanXU.Trojan, W32.WmpdvXF.Worm, W32.FakeLsassUP.Trojan, W32.TJorik.Trojan...