Theo các chuyên gia Trung tâm xử lý sự cố máy tính và an ninh mạng 911 việc cứu lại các dữ liệu bị sâu máy tính như W32.Chir và Worm/Generic ghi đè khá khó khăn bởi nó không xoá hẳn tệp mà chỉ ghi đè một phần dữ liệu làm cho các file bị lỗi không mở được.
W32.Chir.B@mm là 1 loại sâu sâu máy tính qua mail. Nó thường sử dụng công cụ SMTP để gửi thư tới các địa chỉ e-mail như của các loại sử files (.wab), and in .adc, r.db, .doc, and .xls files. Các e-mail này thường có nội dung như sau:
From:
Subject:
Attachments: PP.exe
Khi máy bị nhiễm W32.Chir.B@mm nó tìm tất cả các ổ có trong máy những file có phần đuôi là tml, .exe, and .scr và lây nhiễm vào các file này .
Một đặc điểm cực kỳ nguy hiểm là vào mùng 1 hằng tháng nó sẽ tự động ghi đè 4460 bytes các file có đuôi mở rộng là adc, .doc, and .xls làm cho máy bị nhiễm không thể đọc được gì trong các file Word hoặc Excell và toàn bộ dữ liệu văn phòng của nạn nhân sẽ hoàn toàn không mở được. Trường hợp này khả năng cứu lại dữ liệu là rất khó khăn.
Khi sâu máy tính hoạt động thì nó copy chính nó thành một tệp có tên là: Runouce.exe vào thư mục
C:\windows\system32 ( với windows xp )
C:\winnt\sytem32 (với win2000 )
Tạo thêm 1 khóa trong
Hkey_local_machine\software\Microsoft\Windows\
CurrentVersion\Run
Runonce = Windows\System\Runouce.exe
Vì vậy phiên bản hoạt động của sâu máy tính luôn khởi động cùng với Windows .
Cách Diệt W32.Chir.B@mm
- Updates phiên bản mới diệt virus mới nhất của Smantec hoặc AVG
Bạn có thể tải bản cập nhật symantec offline tại đây.
Bạn có thể tải phần mềm diệt virus của Symantec tại đây.
- Tắt chế độ system restore.
- Khởi động lại chạy trong chế độ safe mode quét tất cả các ổ đĩa. Sửa lại registry bằng cách vào Start->Run gõ regedit sau đó tìm tới key sau và xóa các key sau đây :
Hkey_local_machine\software\Microsoft\
Windows\CurrentVersion\Run
Tìm key sau: Runonce = Windows\System\Runouce.exe và xóa đi
- Sau đó khởi động lại máy tính
Họ sâu máy tính Worm/Generic: Worm/Generic.FX!CME-24 là virus lây lan qua đường e-mail bằng các tệp đính kèm và trên mạng chia sẻ ngang hàng (P2P network). Vào ngày mùng 3 hằng tháng, nó sẽ ghi đè lên các tệp có phần mở rộng là doc, xls, mdb, mde, ppt, pps, zip, rar, pdf, psd and dmp.
Khi sâu này hoạt động, nó copy chính nó thành các tệp có tên là: Scanregw.exe; Net.exe; At.exe; Rundll16.exe;
Vào thư mục hệ thống của Windows
C:\windows\system32 ( với windows xp )
C:\winnt\sytem32 (với win2000 )
và đăng ký tệp scanregw.exe như một ScanRegstry trong khoá regedit
Hkey_local_machine\software\Microsoft\Windows\
CurrentVersion\Run
Worm/Generic.FX!CME-24 thực hiện việc lây nhiễm các phiên bản của nó thông qua các địa chỉ e- mail sưu tầm được thì các tệp chứa thông tin e-mail có đuôi như: HTM, DBX, EML, MSG, OFT, NWS, VCF, MBX, IMH, TXT và MSF.
Nội dung thư có khuôn dạng như sau:
Sender address is faked
Subject and message body are generated from the texts inside virus body.
Attachment:
Attachment name is variable with pif extension or with scr in case of hidden extension.
Spreading: networks
Worm searches for shared folders and copies itself to them using random names.
Payload:
Virus terminates several running processes.
Cách diệt Worm/Generic.FX!CME-24
- Updates phiên bản mới diệt virus mới nhất của Smantec hoặc AVG
Bạn có thể tải bản cập nhật symantec offline tại đây.
Bạn có thể tải phần mềm diệt virus của Symantec tại đây.
- Tắt chế độ system restore.
- Khởi động lại chạy trong chế độ safe mode quét tất cả các ổ đĩa. Sửa lại registry bằng cách vào Start->Run gõ regedit sau đó tìm tới key sau và xóa các key sau đây :
Hkey_local_machine\software\Microsoft\Windows\
CurrentVersion\Run
- Tìm các key có từ khoá sau: Scanregw.exe; Net.exe; At.exe; Rundll16.exe và xóa đi. Sau đó khởi động lại máy tính.
Xuân Kim