virus2
  • Win32/Sality.NBA

  • 0
Автор
КатегорияВирус
Дата обнаружения17.03.2010
Размер160256
Другие названия
Virus.Win32.Sality.gen (Касперский)
W32/Sality.gen.z (McAfee)
Virus:Win32/Sality.AT (Microsoft)

Краткое описание

Win32/Sality.НБА-это полиморфный файловый вирус.

Как устанавливается

При выполнении вирус создает в папке %System%\Drivers\ следующий файл:

  • %variable%.sys

Вместо %variable% используется строка с разным содержанием

Следующие файлы копируются в папку %temp%

  • %variable%.exe

%variable% - случайный текст. Затеем файл выполняется.

Вирус регистрирует себя в качестве системной службы, со следующими именами:

  • IpFilterDriver
  • amsint32

Создаются следующие записи в реестре:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­AuthorizedApplications\­List]
    • "%infectedfilepath%" = "%infectedfilepath%:*:Enabled:ipsec"
  • "%infectedfilepath%" = "%infectedfilepath%:*:Enabled:ipsec"

Тем самым создавая исключения во встроенном фаерволле Windows

Следующие записи реестра:

Следующие записи реестра удаляются:

  • [HKEY_USERS\­Software\­Microsoft\­Windows\­CurrentVersion\­Ext\­Stats]
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Ext\­Stats]
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Ext\­Stats]
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­Browser Helper Objects]
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­Browser Helper Objects]
  • [HKEY_CURRENT_USER\­System\­CurrentControlSet\­Control\­SafeBoot]
  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Control\­SafeBoot]

Заражение исполняемых файлов

Win32/Sality.НБА-это полиморфный файловый вирус.

Вирус ищет на локальных и сетевых дисках файлы со следующими расширениями:

  • .exe
  • .scr

Исполняемые файлы заражаются путем добавления кода вируса к последнему разделу

Хост-файл изменен таким способом, который вызывает вирус быть выполнены до запуска исходного кода.

Вирус заражает файлы, на которые ссылаются следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]

Это приводит к тому, что вирус запускается при каждом запуске системы

Распространение на съёмных носителях

Вирус копирует себя в корневые папки removable drives с помощью random filename.

Имя файла имеет одно из следующих расширений:

  • .exe
  • .pif
  • .cmd

Следующий файл хранится в той же папке:

  • autorun.inf

AUTORUN.INF-файл содержит путь к вредоносного исполняемого файла.

Таким образом, вирус обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.

Дополнительная информация

Удаляются следующие файлы:

  • *.vdb
  • *.avc
  • *drw*.key

Отключаются следующие сервисы:

Вирус завершает процессы с любой из следующих строк в имени:

Вирус содержит список URL-адресов.

Пытается загрузить несколько файлов с удаленных адресов.

Они сохраняются в следующие папки:

  • %temp%\­win%variable%.exe
  • %temp%\­%variable%.exe

Вместо %variable% используется строка с разным содержанием

Затем файлы выполняются

Вирус создает и запускает новый поток с собственным программным кодом во всех запущенных процессах.

Вирус изменяет следующие файлы:

  • SYSTEM.INI

Вирус записывает следующие записи в файл:

  • [MCIDRV_VER]
    • DEVICEMB=%number%
  • DEVICEMB=%number%

Где %number% - это случайное число.

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

SalityKille от Kaspersky

WIN32/SALITY remover от AVG

Похожие записи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *