 Navapsvc.EXE, Nod32kui.EXE, KRegEx.EXE,
Frameworkservice.EXE, Mmsk.EXE, Wuauclt.EXE, Ast.EXE,
WOPTILITIES.EXE, Regedit.EXE, AutoRunKiller.EXE, VPC32.EXE,
VPTRAY.EXE, ANTIARP.EXE, KASARP.EXE, ~.EXE, RAS.EXE,
Runiep.EXE, GuardField.EXE, GFUpd.EXE
 Tắt các process : VsTskMgr.exe, Runiep.exe, RAS.exe,
UpdaterUI.exe, TBMon.exe, KASARP.exe, scan32.exe, VPC32.exe,
VPTRAY.exe, ANTIARP.exe, KRegEx.exe, KvXP.kxp, kvsrvxp.kxp,
kvsrvxp.exe, KVWSC.EXE, Iparmor.exe, 360rpt.EXE, CCenter.EXE,
RAVMON.EXE, RAVMOND.EXE,
GuardField.exe, Ravxp.exe, GFUpd.exe
 Dừng các service : McShield, KWhatchsvc, KPfwSvc, Symantec
AntiVirus, Symantec AntiVirus Definition Watcher
McAfee Framework, Norton AntiVirus Server
 Xóa key không cho người dùng khởi động vào chế độ Safe mode
 Ghi key không cho người dùng hiển thị các file có thuộc tính ẩn và hệ
thống.
 Tự động update bản thân từ link : http://xni[removed]i.com/mm.exe
 Download malware từ các link :
http://xni[removed]i.com/1.exe

http://xni[removed]i.com/10.exe
 Các malware này bao gồm:
o Trojan giả mạo gateway để phát tán virus qua link độc
([removed]/index.gif, )
o Downloader (tải về rất nhiều malware khác)
o Keylogger (ăn cắp mật khẩu Games Online)
o Adware (popup các trang web quảng cáo, sửa StartPage của IE),
Chuyên viên phân tích : Nguyễn Công Cường

21. Bkav1892 - Phát hành lần thứ 1 ngày 18/09/2008, cập nhật HupigonBC,

"load" = %WinDir%\uninstall\rundl132.exe
vào key HKLM\ \Windows\CurrentVersion\Run để chạy virus mỗi khi
windows được khởi động
 Kiểm tra đã tồn tại key
[HKLM\SOFTWARE\Soft\DownloadWWW]
với giá trị "auto" = "1" làm dấu hiệu xác định xem virus lây nhiễm chưa.
 Copy chính nó vào
%Windir%\ Logo1_.exe
%Windir%\uninstall\rundl132.exe
 Drop ra file: %WinDir%\RichDll.dll
 Ghi ngày lây nhiễm vào file C:\_desktop.ini
 Lây file bằng cách ghi code virus vào trước file gốc.
 Lây vào toàn bộ các file exe trong ổ cứng từ C đến Y.
 Lây qua mạng nội bộ bằng cách copy và lây vào các file exe trong các
thư mục shared
 Không lây những file đường dẫn có chứa:
• \Program Files\
• Common Files
• ComPlus Applications
• Documents and Settings
• InstallShield Installation Information
• Internet Explorer
• Messenger
• Microsoft Frontpage
• Microsoft Office
• Movie Maker
• MSN
• MSN Gaming Zone
• NetMeeting
• Outlook Express

 Kích thước: 204 Kb
 Mức độ phá hoại: Trung bình
Nguy cơ:
 Làm giảm mức độ an ninh của hệ thống.
 Mất các thông tin cá nhân.
Hiện tượng:
 Wallpaper được thay bằng một cảnh báo virus (giả) và không thể thay
đổi được
 Xuất hiện các cảnh báo virus (giả) liên tục.
 Yêu cầu người sử dụng đăng ký để có thể sử dụng chương trình diệt
virus (giả).
Cách thức lây nhiễm:
 Phát tán qua trang web lừa đảo.
Cách phòng tránh:
 Không nên vào các trang web cung cấp các phần mềm crack, hack,
các trang web đen, độc hại.
 Không nên vào các trang rao bán chương trình diệt virus mà không rõ
nguồn gốc
Mô tả kỹ thuật:
 Tạo bản sao của chính nó vào thư mục %SysDir%
 Tạo ra file có tên ngẫu nhiên, ví dụ
%SysDir%\phcns0j0e1av.bmp dùng để làm Wallpaper, hiển thị cảnh báo
virus (giả)
 Sửa giá trị của các khóa "Wallpaper", "OriginalWallpaper" và
"ConvertedWallpaper"
trong khóa "HKCU\Control Panel\Desktop" thành
"%SysDir%\phcns0j0e1av.bmp" để thay đổi Wallpaper của Windows.
 Ghi các giá trị "lphcns0j0e1av" = "%SysDir%\lphcns0j0e1av.exe" vào
khóa
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" để virus có