Trong những ngày gần đây, chúng tôi liên tiếp nhận được phản ảnh về hiện tượng các file dữ liệu của FoxPro và SQL trên máy tính của người sử dụng bị phá hỏng. Hiện tượng nêu trên là do virus W32.Ukuran.Worm có xuất xứ từ
Do tính chất nguy hiểm của virus W32.Ukuran.Worm, các bạn cần cập nhật ngay phiên bản Bkav mới nhất để ngăn chặn kịp thời trước khi virus xâm nhập vào máy, tránh những hậu quả đáng tiếc có thể xảy ra.
Dưới đây là mô tả kỹ thuật:
- Tên malware: W32.Ukuran.Worm
- Loại: Worm
- Ngày phát hiện mẫu:
- Lần cập nhật đầu tiên:
- Xuất xứ:
- Kích thước: 215Kb
- Mức độ phá hoại: Cao
Nguy cơ:
- Phá hủy dữ liệu
Hiện tượng:
- Thay thế các file .doc, .xls thành các file .exe.
- Phá hủy các file .dbf, .mdf, .ldf, .bak.
- Sửa registry.
Cách thức lây nhiễm:
-
Thay biểu tượng file nhiễm virus thành file word, excel để đánh lừa người sử dụng. Đặc biệt là các file trong
Cách phòng tránh:
-
Cập nhật Bkav thường xuyên.
-
Không nên vào các trang web cung cấp các phần mềm crack, hack, các trang web đen, độc hại.
Mô tả chi tiết:
-
Copy file virus thành file %System%kspoold.exe và thi hành file này với tham số /INSTALL /SILENT
-
Tạo service "kspooldaemon" để virus được khởi động cùng hệ điều hành.
-
Tìm tất cả các file Word, Excel (.doc, .xls) trong tất cả các ổ đĩa (đĩa cứng,
-
Tìm các file có phần mở rộng là .dbf, .ldf, .mdf, .bak (các file dữ liệu của FoxPro và SQL) trong tất cả các ổ đĩa (đĩa cứng,
distmdl.ldf
distmdl.mdf
master.mdf
mastlog.ldf
model.mdf
modellog.ldf
msdbdata.mdf
msdblog.ldf
northwnd.ldf
northwnd.mdf
pubs.mdf
pubs_log.ldf
tempdb.mdf
templog.ldf
mssqlsystemresource.mdf
mssqlsystemresource.ldf
Chuyên viên phân tích: Tạ Quang Trung