 Tên malware: W32.LogoOneAH.PE
 Thuộc họ: W32.LogoOne.PE
 Loại: PE
 Xuất xứ: Trung Quốc
 Ngày phát hiện mẫu: 19/07/2008
 Kích thước: 61Kb
 Mức độ phá hoại: Cao
Nguy cơ:
 Ăn cắp thông tin cá nhân.
 Lây file
 Làm giảm mức độ bảo mật của hệ thống.
Hiện tượng:
 Sửa registry.
 Dừng các chương trình diệt virus
 Làm chậm hệ thống.
 Mất icon của các file .exe
Cách thức lây nhiễm:
 Phát tán qua trang web, phần mềm miễn phí.
 Phát tán qua các tài nguyên chia sẻ mạng nội bộ
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại
 Không nên mở file đính kèm không rõ nguồn gốc, đặc biệt là các file
có đuôi .exe .com .pif và .bat
 Không nên share full các ổ đĩa, thư mục trong mạng nội bộ, nên đặt
password truy cập nếu muốn chia sẻ quyền sửa và tạo file.
Mô tả kỹ thuật:
 Ghi giá trị
"load" = %WinDir%\uninstall\rundl132.exe
vào key HKLM\Software\Microsoft\Windows\CurrentVersion\Run để chạy
virus mỗi khi windows được khởi động

• system32
• windows
• Windows Media Player
• Windows NT
• WindowsUpdate
• winnt
 Kill các services và chương trình diệt virus:
• "Kingsoft AntiVirus Service"
• EGHOST.EXE
• IPARMOR.EXE
• KAVPFW.EXE
• MAILMON.EXE
• mcshield.exe
• RavMon.exe
• RavMonClass
• Ravmond.EXE
• regsvc.exe
Chuyên viên phân tích : Nguyễn Công Cường

16. Phát hành lần thứ 2 ngày 23/07/2008, cập nhật ZlobSetL, MutantI, ProxyG,
SecretMA, ZhelatinRB, DowlodTB
Malware cập nhật mới nhất:
 Tên malware: W32.SecretMA.Worm
 Thuộc họ: W32.Secret.Worm
 Loại: Worm
 Xuất xứ: Việt Nam
 Ngày phát hiện mẫu: 23/07/2008
 Kích thước: 109Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:

 Xuất xứ : Việt Nam.
 Ngày phát hiện mẫu: 23/07/2008
 Kích thước: 202 Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
 Làm chậm máy tính.
 Gây khó chịu khi sử dụng Yahoo Messenger.
 Hacker có thể chiếm quyền điều khiển các máy tính bị nhiễm virus.
Hiện tượng:
 Registry bị thay đổi.
 Title của IE bị đổi thành : " (¯`v´¯) Welcome http://v[removed]n.vn"
 Tự động vào trang http://quy[removed]utu.com/111zzz mỗi khi bật
IE.
 Gửi các thông điệp qua cửa sổ Yahoo messenger:
" Phim pha trinh ne http://qu[removed]utu.com/parishillton/"
" SEX MOVIE HOT http://qu[removed]tu.com/parishillton/"
" Phim sex Ho Ngoc Ha ne http://qu[removed]utu.com/parishillton/"
" Phim pha trinh ne http://qu[removed]utu.com/parishillton/"
" Hoc sinh dong phim sex ne http://qu[removed]utu.com/parishillton/"
" Phim cuong hiep ne http://qu[removed]utu.com/parishillton/"
" Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/"
" Phim sex Phuong Thanh ne http://qu[removed]utu.com/parishillton/"
" Hoa hau dong phim sex ne http://qu[removed]utu.com/parishillton/"
" Phim sex Trieu Vy ne http://qu[removed]utu.com/parishillton/"
Cách thức lây nhiễm:
 Phát tán qua các công cụ chat Yahoo Messenger.
Cách phòng tránh:
 Không nên mở các liên kết lạ nhận được qua Yahoo Messenger.
 Không nên vào các trang web cung cấp các phần mềm crack, hack,