Malware cập nhật mới nhất:

• Tên malware: W32.KavaAhn.Worm
• Thuộc họ: W32.Kavo.Worm
• Loại: Worm
• Xuất xứ: Trung Quốc
• Ngày phát hiện mẫu: 29/06/2009
• Kích thước: 150 Kb
• Mức độ phá hoại: Trung bình

Nguy cơ:

• Làm giảm mức độ an ninh của hệ thống.
• Ăn cắp mật khẩu các game online.

Hiện tượng:

• Sửa registry.
• Không hiện được các file có thuộc tính ẩn.
• Ngăn cản người dùng sử dụng các chương trình diệt virus.

Cách thức lây nhiễm:

• Phát tán qua trang web.
• Tự động lây nhiễm vào USB.

Cách phòng tránh:

• Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
• Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa.

Mô tả kỹ thuật:

• Copy bản thân thành file có tên "kxvo.exe" vào thư mục %SysDir%.
• Tạo ra các files:
  • %SysDir%\fool0.dll
  • %SysDir%\ieso0.dll
  • %TempDir%\dlltwg77.dll
  • %TempDir%\ejr4f4v.dll
• Ghi giá trị
  "Kxva"="C:\WINDOWS\system32\kxvo.exe"
  Vào key HKCU\...\Windows\CurrentVersion\Run để virus được kích hoạt mỗi khi Windows khởi động
• Ghi các key HKLM\...\Explorer\Advanced\Folder\Hidden\SHOWALL "CheckedValue" = "0" không cho hiện file ẩn
  HKCU\...\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
  HKCU\...\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
  HKCU\...\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91" cho phép file autorun tự chạy khi nháy kép vào ổ đĩa.
• Tắt các cửa sổ cảnh báo của chương trình Kaspersky
• Tắt process của các chương trình diệt virus KAV ...
• Tiêm mã độc vào process : explorer.exe
• Tìm ổ USB và copy chính nó vào ổ đĩa ấy thành file "lvhf.cmd", ghi thêm file "autorun.inf" để virus lây lan

Chuyên viên phân tích : Ngô Quốc Hoàn

Một số malware đáng chú ý cập nhật cùng ngày: W32.AppugQKG.RSF, W32.InjectorQK.Trojan, W32.TedrooQK.Trojan, W32.TedrooQKB.Trojan, W32.NoshowJAH.Worm, W32.FaeeyC.Trojan...