Sality to rodzina szkodliwego oprogramowania infekującego pliki, które atakuje komputery z systemem Windows poprzez rozprzestrzenianie infekcji poprzez pliki EXE i SCR.
Sality, które mogło początkowo być początkowo w Rosji, ewoluowało przez lata, więc różne warianty szkodliwego oprogramowania mają inną charakterystykę. Jednak większość wariantów Sality to robaki, które wykorzystują pewną formę funkcji autorun do infekowania plików wykonywalnych przez dyski wymienne lub wykrywalne.
Niektóre z nich to botnety Sality, które łączą zainfekowane komputery z własną siecią P2P, dzięki czemu komputery jako całość ułatwiają kradzież prywatnych danych, łamanie haseł, wysyłanie spamu i inne.
Wirus Sality może również zawierać trojana pobierającego, który instaluje dodatkowe złośliwe oprogramowanie przez Internet, oraz keylogger, który monitoruje i zapisuje naciśnięcia klawiszy.
Uwaga: Niektóre programy antywirusowe odnoszą się do wirusów Sality pod innymi nazwami, takimi jak SaILoad, SaliCode, Kookoo i Kukacka.
Jak to działa
Jak wspomniano powyżej, złośliwe oprogramowanie Sality infekuje pliki wykonywalne na zainfekowanym komputerze.
Większość wersji złośliwego oprogramowania umieszcza specjalny plik DLL na komputerze w %SYSTEM% i może nazywać go "wmdrtc32.dll" lub, w przypadku wersji skompresowanej, "wmdrtc32.dl_."
Jednak nie wszystkie warianty wirusa Sality będą używały pliku DLL w ten sposób. Niektóre ładują kod bezpośrednio do pamięci, a plik DLL nie zostanie znaleziony nigdzie w obrębie rzeczywistych plików na dysku.
Inni mogą nawet przechowywać sterownik urządzenia w % SYSTEM% drivers teczka. To, co sprawia, że jest to trudne, polega na tym, że może być przechowywany z losową nazwą pliku, więc jeśli oprogramowanie antywirusowe odczytuje tylko nazwy plików w celu wykrycia wirusów, a nie zawartości pliku, istnieje duża szansa, że nie wykryje wirusa Sality. .
Aktualizacje szkodliwego oprogramowania Sality są przekazywane przez HTTP za pośrednictwem zdecentralizowanych list adresów URL. Po zainfekowaniu złośliwe oprogramowanie potrzebuje jedynie aktualizacji za kulisami, aby przekształcić się i rozwijać samodzielnie, aby pobierać nowe pliki w celu zainfekowania innych komputerów.
Oznaki infekcji
Ważne jest, aby zdawać sobie sprawę z objawów infekcji wirusem Sality - co komputer może zrobić i jak może działać, gdy obecny jest wirus Sality.
Podobnie jak w przypadku innych złośliwych programów, Sality może wykonać jedną z następujących czynności:
- Wyłącz oprogramowanie antywirusowe i uniemożliwić dostęp do niektórych stron antywirusowych i zabezpieczających.
- Zapobiegaj uruchamianiu w trybie awaryjnym.
- Usuń pliki, procesy i / lub usługi związane z bezpieczeństwem.
- Przechowuj plik CMD, PIF i / lub EXE w katalogu głównym dysków wykrywalnych, wraz z plikiem autorun.inf zawierającym instrukcje ładowania zrzuconych plików podczas uzyskiwania dostępu do dysku.
- Wysyłaj spam do swoich kontaktów e-mail, uzyskując dostęp do książki adresowej swojego klienta poczty e-mail.
- Usuń pliki, które zawierają określone rozszerzenie pliku.
Jak usunąć
Najlepszym sposobem zapobiegania infekcji wirusem Sality jest aktualizowanie komputera za pomocą najnowszych poprawek i definicji zabezpieczeń. Korzystaj z witryny Windows Update i aktualizuj oprogramowanie antywirusowe, aby zapobiec atakowi.
Jeśli już wiesz, że masz wirusa Sality, możesz go pozbyć w podobny sposób. Skanuj swój komputer w poszukiwaniu złośliwego oprogramowania dzięki zaktualizowanemu i sprawnemu oprogramowaniu antywirusowemu. Możesz mieć szczęście, używając narzędzia do usuwania programów szpiegujących, aby złapać wirusa Sality, ponieważ działa on także jako oprogramowanie szpiegujące. Jeśli te nie działają lub nie masz regularnego dostępu do systemu Windows, zamiast tego użyj rozruchowego programu antywirusowego.
Niektórzy dostawcy oprogramowania antywirusowego zawierają specjalne narzędzie przeznaczone specjalnie do radzenia sobie z wirusem Sality. Na przykład AVG oferuje popularny darmowy program antywirusowy, ale zawiera także Sality Fix, którą można pobrać bezpłatnie, aby automatycznie usunąć wirusa Sality. Kaspersky pozwala korzystać z bezpłatnego narzędzia SalityKiller.
Jeśli plik zostanie zainfekowany przez Sality, zezwól oprogramowaniu na wyczyszczenie pliku. Jeśli zostanie znalezione inne złośliwe oprogramowanie, spróbuj usunąć wirusa lub podjąć zalecane działanie przez skaner.
Niektóre programy antywirusowe mogą nie wykryć wirusa Sality. Jeśli podejrzewasz, że masz wirusa, ale oprogramowanie zabezpieczające go nie znajduje, spróbuj przesłać go do VirusTotal, aby przeprowadzić skanowanie online za pomocą różnych silników skanowania.
Inną opcją jest ręczne usunięcie plików wirusów poprzez wyszukanie na komputerze za pomocą narzędzia do wyszukiwania plików, takiego jak Everything. Istnieje jednak duża szansa, że pliki są zablokowane i nie można ich usunąć w normalny sposób. Programy antywirusowe zazwyczaj mogą tego uniknąć, planując usuwanie złośliwego oprogramowania po wyłączeniu komputera.
Co zrobic nastepnie
Jeśli jesteś pewien, że wirus Sality został usunięty, powinieneś rozważyć wyłączenie autorun, aby zapobiec ponownej infekcji przez USB.
Ważne jest również, aby zmienić hasła na konta internetowe, z których korzystałeś w czasie infekcji. Jeśli wirus Sality rejestruje twoje naciśnięcia klawiszy, istnieje spora szansa, że zarejestruje twoje dane bankowe, dane społecznościowe, hasło e-mail itp. Zmiana tych haseł ( po tym, jak infekcja zniknęła ) i sprawdzenie konta pod kątem kradzieży to ważny krok.
Zainstaluj zawsze aktualizowany, łatwy w użyciu program antywirusowy, aby było mniej prawdopodobne, że to się powtórzy. Upewnij się, że można sprawdzić dyski wymienne pod kątem złośliwego oprogramowania i skonfigurować zaplanowane skanowanie, aby okresowo sprawdzać, czy nie ma złośliwego oprogramowania wszystkich typów, nie tylko dla wirusa Sality.
