1. Bkav1596 (09/04/2008) cập nhật lần thứ 1: SocksF, AutorunDM Malware cập nhật mới nhất:  Tên malware: W32.AutorunDM.Worm  Thuộc họ: W32.Autorun.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 08/04/2008  Kích thước: 56.5 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Lấy cắp thông tin cá nhân.  Làm giảm mức độ an ninh của hệ thống.  Cài thêm virus khác vào hệ thống. Hiện tượng:  Sửa registry.  Tắt các chương trình AntiVirus và các dịch vụ hệ thống của Windows  Bật các popup quảng cáo từ trang http://www.me[removed].com  Tự động download các trojan về máy  Xóa bản thân sau khi chạy Cách thức lây nhiễm:  Phát tán qua USB, các ổ đĩa chia sẻ Cách phòng tránh:  Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file có đuôi .exe .com .pif và .bat.  Không nên mở các ổ USB mới chưa được quét virus bằng cách nháy kép vào ổ đĩa.  Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt password truy cập nếu muốn chia sẻ quyền sửa và tạo file.  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại Mô tả kỹ thuật:  Tạo ra các bản sao của nó: o %Program Files%\meex.exe o %Program Files%\Common Files\Microsoft Shared\hopjuhc.exe o %Program Files%\Common Files\System\jbmnovh.exe  Tắt chương trình Kaspersky AntiVirus  Xóa key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AVP" không cho KAV chạy khi hệ thống khởi động.  Ghi giá trị: o lgdlwuc="%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động. o nuydgvu ="%Program Files%\Common Files\System\jbmnovh.exe" vào key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run để chạy virus lúc hệ thống khởi động.  Lây nhiễm qua các ổ USB, ổ mạng: o Copy bản thân vào các ổ với tên "nuydgvu.exe", tạo file autorun.inf để chạy mỗi khi mở ổ đó ra  Tải về máy file text chứa link down các trojan khác từ trang : o http://www.webe[removed]b.com/ReadDown.txt  Bật các popup quảng cáo từ trang http://www.me[removed].com  Ghi giá trị "Debugger" = "%Program Files%\Common Files\Microsoft Shared\hopjuhc.exe" vào các key HKLM\ \CurrentVersion\Image File Execution Options\<tên file> để chạy file virus thay vì chạy các file : o Ras.exe o avp.com o avp.exe o runiep.exe o PFW.exe o FYFireWall.exe o rfwmain.exe o rfwsrv.exe o KAVPF.exe o KPFW32.exe o Chuyên viên phân tích : Nguyễn Quốc Nhân Một số malware đáng chú ý cập nhật cùng ngày: W32.SoundMan.Worm, W32.PopDownC.Worm, W32.TTC.Adware, W32.DownloaderQC.Worm, W32.KavoQE.Worm, W32.DashferES.PE, W32.IEMonitorA.Spyware, W32.SocksF.Worm, W32.BraviaxHqB.Worm, W32.OnGamesDF.Trojan, W32.WinsysDropA.Trojan, W32.ZlobST.Adware, W32.007Spysoft.Trojan, W32.CimusL.Rootkit, W32.CimusO.Rootkit 2. Bkav1594 (08/04/2008) cập nhật lần thứ 2: AutoVbsC, KavoXW Malware cập nhật mới nhất:  Tên malware: W32.AutoVbsC.Worm  Thuộc họ: W32.AutoVbs.Worm  Loại: Worm  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 08/04/2008  Kích thước: 10Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Sửa registry. Cách thức lây nhiễm:  Phát tán qua trang web.  Tự động lây nhiễm vào USB. Cách phòng tránh:  Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại  Không nên mở ổ USB bằng cách nháy kép vào biểu tượng ổ đĩa. Mô tả kỹ thuật:  Ghi giá trị %ComputerName%=”C:\Windows\.vbe” Vào key HKLM\software\microsoft\windows\currentversion\policies\explorer\run để virus được kích hoạt mỗi khi Windows khởi động  Copy bản thân thành file có tên ".vbe" vào thư mục %WinDir%  Copy bản thân kèm theo file autorun.inf vào tất cả các ổ đĩa.  Ghi key không cho người dùng hiện các file có thuộc tính ẩn.  Ghi các giá trị : "til", "tjs", "djs", "ded", "atd", "dna" trong key HKLM\ \windows\currentversion\policies\explorer lưu các thông tin của worm.  Sau 3 ngày tính từ lần chạy đầu tiên : bật service "task scheduler"  Kiểm tra version của Script hiện tại đang chạy, nếu khác version của worm thì tiến hành gỡ bỏ và xóa file của script đó. Chuyên viên phân tích : Nguyễn Công Cường Một số malware đáng chú ý cập nhật cùng ngày: W32.AutoVbsD.Worm, W32.DownlodAdware.Trojan, W32.KavoXW.Worm, W32.OnGameQA.Trojan, W32.OnGameQB.Trojan, W32.OnGameQC.Trojan, W32.OnGameQD.Trojan 3. Bkav1597 (09/04/2008) cập nhật lần thứ 2: CTfino, RankyG Malware cập nhật mới nhất:  Tên malware: W32.DownlodAdware.Trojan  Thuộc họ: W32.Downloader.Trojan  Loại: Trojan  Xuất xứ: Nước ngoài  Ngày phát hiện mẫu: 09/04/2008  Kích thước: 45 Kb  Mức độ phá hoại: Trung bình Nguy cơ:  Làm giảm mức độ an ninh của hệ thống. Hiện tượng:  Tự động download virus về máy người dùng .  Hiện pop up các trang quảng cáo Cách thức lây nhiễm:  Phát tán qua các trang web. Cách phòng tránh:  Không nên truy cập vào các trang web độc hại, phần mềm miễn phí. Mô tả kỹ thuật:  Copy bản thân vào các file: o %WinDir%\mrofuni.exe o %WinDir%\tsitra.exe  Ghi key run: o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run] runner1 = "%Windows%\tsitra.exe" o [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] runner1 = "%Windows%\mrofinu.exe"  Download virus từ địa chỉ: http:// o.com/retadpu.php về máy người dùng. Chuyên viên phân tích : Tô Đình Hiệp 4. Bkav1598 (10/04/2008) cập nhật lần thứ 1: KavoPcn, PeedJ Malware cập nhật mới nhất:  Tên malware: W32.KavoPcn.Worm  Thuộc họ: W32.Kavo.Worm  Loại: Worm  Xuất xứ : Trung Quốc  Ngày phát hiện mẫu: 09/04/2008  Kích thước: 117Kb  Mức độ phá hoại: Trung bình Nguy cơ: . ngày: W 32. SoundMan.Worm, W 32. PopDownC.Worm, W 32. TTC.Adware, W 32. DownloaderQC.Worm, W 32. KavoQE.Worm, W 32. DashferES.PE, W 32. IEMonitorA.Spyware, W 32. SocksF.Worm, W 32. BraviaxHqB.Worm, W 32. OnGamesDF.Trojan,. W 32. AutoVbsD.Worm, W 32. DownlodAdware.Trojan, W 32. KavoXW.Worm, W 32. OnGameQA.Trojan, W 32. OnGameQB.Trojan, W 32. OnGameQC.Trojan, W 32. OnGameQD.Trojan 3. Bkav1597 (09/04 /20 08) cập nhật lần thứ 2: . W 32. OnGamesDF.Trojan, W 32. WinsysDropA.Trojan, W 32. ZlobST.Adware, W 32. 007Spysoft.Trojan, W 32. CimusL.Rootkit, W 32. CimusO.Rootkit 2. Bkav1594 (08/04 /20 08) cập nhật lần thứ 2: AutoVbsC, KavoXW