Malware cập nhật mới nhất:

• Tên malware: W32.SecretJOE.Worm
• Thuộc họ: W32.Secret.Worm
• Loại: Worm
• Xuất xứ: Việt Nam
• Ngày phát hiện mẫu: 09/03/2010
• Kích thước: 261Kb
• Mức độ phá hoại:Trung bình

Nguy cơ:

• Làm giảm mức độ an ninh của hệ thống.

Hiện tượng:

• Làm chậm máy..
• Tự động download.
• Không hiện được file ẩn, không vào được Task Manager, Regedi...

Cách thức lây nhiễm:

• Phát tán qua trang web.
• Lây lan qua ổ USB.
• Qua các chương trình chat Yahoo Messenger và GoogleTalk.
• Qua thư mục chia sẻ trong mạng LAN.

Cách phòng tránh:

• Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại
• Không kích vào các đường link spam trên Yahoo Messenger.
• Không mở bằng cách kích đúp vào biểu tượng ổ đĩa

Mô tả kỹ thuật:

• Tự copy bản thân thành "%Sysdir%\Chrome.exe"
• Tắt các process: game_y.exe. Đóng các cửa sổ Bkav2006, System Configuration, Registry, Windows Task, [FireLion], cmd.exe
• Ghi đè bản thân thành %Sysdir%\Userinit.exe
• Ghi Key để Virus chạy khi khởi động
  • Ghi key: "HKCU\...\Windows\CurrentVersion\Run\Yahoo Messengger" với giá trị "%SysDir%\Chrome.exe"
  • Sửa key: "HKLM\...\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell"
• Thay đổi trang chủ IE thành: "http://h1.[removed].com/poojasharma/index.html"
• Copy bản thân vào các thư mục chia sẻ trong mạng LAN
• Copy bản thân và ghi file autorun.inf vào các ổ đĩa
• Tự động gửi tin nhắn hàng loạt qua Yahoo Messnger và GoogleTalk chứa đường link độc hại.
• Lấy thông tin từ và tự động cập nhật:
  • http://h1.ripway.com/[removed]/setting.ini
  • http://h1.ripway.com/[removed]1/setting.ini
  • http://h1.ripway.com/[removed]2/setting.ini
  • http://h1.ripway.com/[removed]3/setting.ini
  • http://h1.ripway.com/[removed]4/setting.ini

Chuyên viên phân tích : Nguyễn Công Cường
Một số malware đáng chú ý cập nhật cùng ngày: W32.EstoniaKeyMTB.Trojan, W32.SysCopMTA.Trojan, W32.HPbinaryMSN.Trojan, W32.HPfakeWUM.Trojan, W32.AutorunAU3l1.Worm, W32.BredolabTMA.Worm, W32.BuzusKOK.Worm, W32.SecretJOF.Worm...