Tiếp tục cảnh báo các virus: W32/Bereb-B,Troj/Eyeveg-C,W32/Netsky-M

Tên virus

Tóm tắt

Chi tiết

W32/Bereb-B

W32/Bereb-B là một sâu máy tính kiêm chức năng của Trojan. W32/Bereb-B có thể lắng nghe lệnh trên các kênh IRC đặc biệt.

Biệt danh
Worm.P2P.Astaber, Win32/Bereb.C, W32.HLLW.Bereb, WORM_BEREB.B

W32/Bereb-B là một loại sâu máy tính ngang hàng, có khả năng nhân bản vào phần startup chia sẻ trong thư mục Windows dưới nhiều tên khác nhau, bao gồm:

007 Crack.exe
007 keygen.exe
007.exe
3D Flash Animator v3.7.exe
3D magic Pixel 3D Crack.exe
3D magic Pixel 3D.exe
9 naked girls.exe
ws_ftp.exe
xbox emulator (works!!).exe
xbox.info.exe.exe
xxx.exe

- Để mục startup có thể biến thành thư mục chia sẻ, W32/Bereb-B sẽ bổ sung các giá trị vào registry tại địa chỉ sau:

HKCU\Software\Kazaa\LocalContent\Dir0 = <đường dẫn tới thư mục startup>

- W32/Bereb-B cũng sẽ nhân bản vào thư mục Windows với cái tên svckernell.com; và tạo ra các khoá registry tại địa chỉ sau để nó có thể được kích hoạt khi máy tính khởi động:

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\svckernell

- W32/Bereb-B là một loại Trojan backdoor lây nhiễm qua kênh IRC, và có thể lắng nghe lệnh trên các kiên IRC đặc biệt.

- W32/Bereb-B tạo ra file library.dat trong tiểu thư mục WinMx, thuộc thư mục Program Files. File này không nguy hiểm và có thể xoá bỏ.

Troj/Eyeveg-C

Troj/Eyeveg-C là loại Trojan đánh cắp mật khẩu và thu thập thông tin cá nhân trên hệ thống máy tính lây nhiễm rồi gửi cho kẻ tạo ra nó

- Troj/Eyeveg-C là loại Trojan đánh cắp mật khẩu, hoạt động trong môi trường Windows.

- Để có thể chạy tự động mỗi lần Windows khởi động, Troj/Eyeveg-C nhân bản vào một file với tên ngẫu nhiên trong thư mục hệ thống (Windows) và bổ sung các khoá registry có liên quan tới file này.

- Troj/Eyeveg-C cũng sẽ nhân bản vào thư mục khởi động của Windows.

- Troj/Eyeveg-C thu thập thông tin hệ thống và mật khẩu rồi gửi tới một web trên mạng.

W32/Netsky-M

W32/Netsky-M là một "bom sâu", có khả năng tự nhân bản và phát tán theo các địa chỉ thu thập từ máy tính lây nhiễm

- W32/Netsky-M là một "bom sâu" tự nhân bản và phát tán theo các địa chỉ thu thập từ máy tính lây nhiễm.

- W32/Netsky-M tự sao chép vào thư mục Windows dưới cái tên AVPROTECT9X.EXE; và để đảm bảo cho sâu có thể được kích hoạt khi máy tính khởi động, W32/Netsky-M sẽ bổ sung các giá trị vào registry tại địa chỉ sau:

HKLM\Software\Microsoft\Windows\
CurrentVersion\Run\9XHtProtect=
\AVprotect9x.exe

- W32/Netsky-M thu thập địa chỉ e-mail từ các file có phần mở rộng sau:

PL, HTM, HTML, EML, TXT, PHP, VBS, RTF, UIN, ADB, TBB, DBX, ASP, WAB, DOC, SHT,OFT, MSG, JSP, WSH, XML, SHTM, CGI, DHTM

E-mail nhiễm W32/Netsky-M mang các đặc điểm sau:

Dòng tiêu đề:

Re: Requested file
Re: My file
Re: My document
Re: My information
Re: My details
Re: Information
Re: Improved
Re: Requested document
Re: Document
Re: Details
Re: Your document
Re: Your details
Re: Approved

Dòng thông điệp:

Details for .
Document .
I have received your document. The improved document is attached.
I have attached your document .
Your document is attached to this mail.
Authentification for required.
Requested file .
See the file .
Please read the important message msg_.
Please confirm the document .
is attached.
Your file is attached.
Please read the document .
Your document is attached.
Please read the attached file .
Please see the attached file for details.

File đính kèm (có phần mở rộng là ". PIF"):

improved_
message_
detailed_
your_document_
word_doc_
doc_
articel_
picture_
file_
your_file_
details_
document_