 Tên malware: W32.QhostA.Trojan
 Thuộc họ: W32.Qhost.Trojan
 Loại: Trojan
 Xuất xứ: Nước ngoài
 Ngày phát hiện mẫu: 17/04/2008
 Kích thước: 83 Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
Hiện tượng:
 Không cho người sử dụng truy cập vào các trang web: mcafee.com,
kaspersky.com, avast.com
Cách thức lây nhiễm:
 Phát tán qua các trang web.
Cách phòng tránh:
 Không nên truy cập vào các trang web độc hại, phần mềm miễn phí.
Mô tả kỹ thuật:
 Copy bản thân vào file "%SysDir%\iexplore.exe" và tạo key run để
khởi động mỗi khi bật máy [HKLM\ \Windows\CurrentVersion\Run]
"Microsoft Internet Explorer" = "%SysDir%\iexplore.exe"
 Dump ra các file
o %SysDir%\%random_name%.exe được phát hiện là QhostADmp.
Sửa file host để ngăn không cho người dùng truy nhập vào các trang:
 127.0.0.1 www.symantec.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 downloads1.kaspersky-labs.com
 127.0.0.1 downloads2.kaspersky-labs.com
 127.0.0.1 downloads3.kaspersky-labs.com
 127.0.0.1 downloads4.kaspersky-labs.com
 127.0.0.1 downloads5.kaspersky-labs.com
 127.0.0.1 www.kaspersky-labs.com

 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 customer.symantec.com
 127.0.0.1 rads.mcafee.com
 127.0.0.1 trendmicro.com
 127.0.0.1 www.trendmicro.com
 127.0.0.1 vncsvr.com
 127.0.0.1 secdreg.org
 127.0.0.1 virusscan.jotti.org
 127.0.0.1 virustotal.com
 127.0.0.1 dnl-eu12.kaspersky-labs.com
 127.0.0.1 dnl-eu13.kaspersky-labs.com
 127.0.0.1 dnl-cd1.kaspersky-labs.com
 127.0.0.1 dnl-ru1.kaspersky-labs.com
 127.0.0.1 dnl-ru2.kaspersky-labs.com
 127.0.0.1 dnl-ru5.kaspersky-labs.com
 127.0.0.1 dnl-cn1.kaspersky-labs.com
 127.0.0.1 liveupdatesnet.com

o %SysDir%\%random_name%.exe được phát hiện là AgentProx, ghi
key run: [HKLM\ \Windows\CurrentVersion\Run] với giá trị "Advanced
DHTML Enable" = %SysDir%\%random_name%.exe
Chuyên viên phân tích : Tô Đình Hiệp

11. Bkav1672 (23/05/2008) cập nhật lần thứ 1: VetorDH, WycaliB
Malware cập nhật mới nhất:
 Tên malware: W32.Wycali.Worm
 Thuộc họ: W32.Wycali.Worm
 Loại: Worm
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 22/05/2008


[removed]d00.net/a36.exe
Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.AmvoDH.Worm,
W32.Bilano.Trojan, W32.CyberAle.Adware, W32.DownloadAB.Trojan,
W32.KavoXLF.Worm, W32.OnGamesXAA.Trojan, W32.Piery.Trojan,
W32.FloodBlack.Trojan, W32.RejoicerC.Worm, W32.SpybotV.Trojan,
W32.FakeAlertXA.Trojan, W32.CeekatK.Rootkit, W32.ProxyA.Trojan,
W32.VetorDH.PE

12. Bkav1680 - Phát hành lần thứ 2 ngày 28/05/2008, cập nhật QuikMsg,
AvpB, CinmusXF, KavoADS, NTRootB, PeserD, PeserE
Malware cập nhật mới nhất:
 Tên malware: W32.PeserD.Worm
 Thuộc họ: W32.Peser.Worm
 Loại: Worm
 Xuất xứ: Nước ngoài
 Ngày phát hiện mẫu: 28/05/2008
 Kích thước: 61Kb
 Mức độ phá hoại: Cao
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
 Làm hỏng các file thực thi đã được pack.
Hiện tượng:
 Sửa registry.
 Không chạy được một vài chương trình thực thi.
Cách thức lây nhiễm:
 Phát tán qua trang web.
 Tự động lây nhiễm vào USB.
Cách phòng tránh: