|
W32/Netsky-L |
W32/Netsky-L là một loại sâu máy tính, lây lan qua e-amail. Hiện chưa có những đánh giá về mức độ nguy hiểm của loại sâu này.
|
W32/Netsky-L là một loại sâu máy tính, lây lan qua con đường e-mail, thường mang những đặc điểm sau:
Dòng tiêu đề: Có một trong số những dòng tiêu đề sau:
Re: Important
Re: Your document
Re: Your details
Re: Approved
Dạng thông điệp: Mang một trong những dòng thông điệp sau:
Your file is attached.
Please read the document.
Your document is attached.
Please read the attached file.
Please see the attached file for details.
Tên file đính kèm có những hướng dẫn sau:
_.pif
or
.pif
where is one of:
your_file_
details_
document_
Trong lần chạy đầu tiên, W32/Netsky-L sẽ nhân bản vào folder Windows với cái tên AVprotect.exe; và để có thể tự động chạy khi máy tính khởi động, W32/Netsky-L sẽ tạo ra các giá trị trong registry tại địa chỉ sau:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\HtProtect
|
|
Troj/Domwis-A |
Troj/Domwis-A là một con Trojan backdoor, cho phép kẻ tấn công có thể truy cập từ xa tới máy tính lây nhiễm. Ngoài ra, con Trojan này cũng có nhiệm vụ đánh cắp thông tin cá nhân và thực hiện các tác vụ ghi bàn phím. |
- Troj/Domwis-A là một Trojan backdoor, lây nhiễm qua kênh IRC và cho phép kẻ tấn công có thể truy cập từ xa tới máy tính lây nhiễm virus.
- Trong lần chạy đầu tiên, Troj/Domwis-A sẽ nhân bản vào folder Windows dưới cái tên: RUNDLL16.EXE; và sẽ tạo ra các entry trong registry tại địa chỉ sau nhằm đảm bảo cho chúng có thể được kích hoạt khi hệ thống khởi động:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Windows
DLL Loader = <WINDOWS>\RUNDLL16.EXE
- Troj/Domwis-A sẽ đánh cắp các thông tin hệ thống và ghi lại các tác vụ bàn phím.
- Troj/Domwis-A có thể tải và thực thi từ xa các file trên hệ thống lây nhiễm. Loại Trojan này cũng có thể được lập trình để truy vấn các danh sách file, xoá file và chấm dứt các process (quá trình).
- Troj/Domwis-A sẽ tạo ra một file temp.bat trong folder Windows, tuy nhiên bản chất của file này lại không nguy hiểm |
|
Troj/Cidra-D |
Virus Troj/Cidra- có khả năng mở cổng sau (backdoor), cho phép kết nối trái phép tới hệ thống. Ngoài ra, có dấu hiệu Troj/Cidra-D phát tán thư rác bằng các địa chỉ tìm thấy trên máy tính lây nhiễm. |
- Troj/Cidra-D là một con Trojan backdoor (cửa sau), cho phép đột nhập từ xa để gia tăng lưu lượng TCP thông qua các hệ thống bị lây nhiễm.
- Troj/Cidra-D có file thực thi là usb_d.exe; và để có thể tự động chạy khi người dùng đăng nhập vào hệ thống, loại Trojan này sẽ bổ sung các khoá vào trong registry tại địa chỉ sau:
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\Usbd
- Troj/Cidra-D mở một cổng ngẫu nhiên để lắng nghe, và theo định kỳ nó sẽ cố kết nối từ xa tới một website để đăng ký.
- Troj/Cidra-D cũng có khả năng tải và thực thi một file từ trên mạng.
- Các e-mail nhiễm Troj/Cidra-D, thường có các dòng tiêu đề sau:
"This your photo?"
+This your photo?
This+ your photo?
This your photo?
This y_our photo?
This your pho+to^?
This yo_ur -photo?
Th_is your photo?
This you-r _photo?
Thi^s your photo?
Thi-s +your photo?
- Virus sẽ có dòng thông điệp: "Is this your photo? I cant belive it made it onto the internet!"
- File gắn kèm có tên: p_usb.zip. |
|
W32/Agobot-DQ |
Hãng Sophos vừa đưa ra cảnh báo về sự xuất hiện virus W32/Agobot-DQ, có khả năng lây nhiễm qua các tệp tin chia sẻ trong mạng Windows, lắng nghe trên một cổng riêng biệt và sẽ phát tán khi có tín hiệu kết nối tới cổng này. Nhằm cung cấp cho bạn đọc những thông tin mới nhất về các loại virus xuất hiện trên mạng Internet, kể từ "Cảnh báo virus" đầu tiên này (số No001), chúng tôi sẽ liên tục cập nhật danh sách các loại virus mới nhất. |
- Sâu W32/Agobot-DQ lây nhiễm qua mạng, cho phép truy cập trái phép từ xa thông qua kênh IRC.
- W32/Agobot-DQ sẽ nhân bản vào các phần chia sẻ của mạng LAN.
- W32/Agobot-DQ sẽ nhân bản vào folder hệ thống (Windows) dưới cái tên FILENAME.EXE và tạo ra các entries (đầu vào) trong registry tại các địa chỉ sau:
(Chú ý: Khi hệ thống khởi động, W32/Agobot-DQ cũng sẽ được kích hoạt theo)
HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\
Configuration Loader
HKLM\Software\Microsoft\Windows\
CurrentVersion\RunServices\
Configuration Loader
- Sâu vô hiệu hoá các phần chia sẻ mặc định của hệ thống như: C$, D$, ADMIN$ và IPC$.
- W32/Agobot-DP sẽ cố chấm dứt các process (quá trình) sau:
tftpd.exe
dllhost.exe
winppr32.exe
mspatch.exe
penis32.exe
msblast.exe
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE |