• Win32/Sality.NBA

  • 1
Автор
Категория Вирус
Дата обнаружения 17.03.2010
Размер 160256
Другие названия
Virus.Win32.Sality.gen (Касперский)
W32/Sality.gen.z (McAfee)
Virus:Win32/Sality.AT (Microsoft)

Краткое описание

Win32/Sality.НБА-это полиморфный файловый вирус.

Как устанавливается

При выполнении вирус создает в папке %System%\Drivers\ следующий файл:

  • %variable%.sys

Вместо %variable% используется строка с разным содержанием

Следующие файлы копируются в папку %temp%

  • %variable%.exe

%variable% - случайный текст. Затеем файл выполняется.

Вирус регистрирует себя в качестве системной службы, со следующими именами:

  • IpFilterDriver
  • amsint32

Создаются следующие записи в реестре:

  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile\­AuthorizedApplications\­List]
    • "%infectedfilepath%" = "%infectedfilepath%:*:Enabled:ipsec"
  • "%infectedfilepath%" = "%infectedfilepath%:*:Enabled:ipsec"

Тем самым создавая исключения во встроенном фаерволле Windows

Следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Internet Settings]
    • "GlobalUserOffline" = 0
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­policies\­system]
    • "EnableLUA" = 0
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess\­Parameters\­FirewallPolicy\­StandardProfile]
    • "EnableFirewall" = 0
    • "DoNotAllowExceptions" = 0
    • "DisableNotifications" = 1
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­wscsvc]
    • "Start" = 4
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­ALG]
    • "Start" = 4
  • [HKEY_LOCAL_MACHINE\­SYSTEM\­CurrentControlSet\­Services\­SharedAccess]
    • "Start" = 4
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Security Center]
    • "AntiVirusOverride" = 1
    • "AntiVirusDisableNotify" = 1
    • "FirewallDisableNotify" = 1
    • "FirewallOverride" = 1
    • "UpdatesDisableNotify" = 1
    • "UacDisableNotify" = 1
    • "AntiSpywareOverride" = 1
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Security Center\­Svc]
    • "AntiVirusOverride" = 1
    • "AntiVirusDisableNotify" = 1
    • "FirewallDisableNotify" = 1
    • "FirewallOverride" = 1
    • "UpdatesDisableNotify" = 1
    • "UacDisableNotify" = 1
    • "AntiSpywareOverride" = 1
  • "GlobalUserOffline" = 0
  • "EnableLUA" = 0
  • "EnableFirewall" = 0
  • "DoNotAllowExceptions" = 0
  • "DisableNotifications" = 1
  • "Start" = 4
  • "Start" = 4
  • "Start" = 4
  • "AntiVirusOverride" = 1
  • "AntiVirusDisableNotify" = 1
  • "FirewallDisableNotify" = 1
  • "FirewallOverride" = 1
  • "UpdatesDisableNotify" = 1
  • "UacDisableNotify" = 1
  • "AntiSpywareOverride" = 1
  • "AntiVirusOverride" = 1
  • "AntiVirusDisableNotify" = 1
  • "FirewallDisableNotify" = 1
  • "FirewallOverride" = 1
  • "UpdatesDisableNotify" = 1
  • "UacDisableNotify" = 1
  • "AntiSpywareOverride" = 1
Показать больше
Показать меньше

Следующие записи реестра удаляются:

  • [HKEY_USERS\­Software\­Microsoft\­Windows\­CurrentVersion\­Ext\­Stats]
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Ext\­Stats]
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Ext\­Stats]
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­Browser Helper Objects]
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­Browser Helper Objects]
  • [HKEY_CURRENT_USER\­System\­CurrentControlSet\­Control\­SafeBoot]
  • [HKEY_LOCAL_MACHINE\­System\­CurrentControlSet\­Control\­SafeBoot]

Заражение исполняемых файлов

Win32/Sality.НБА-это полиморфный файловый вирус.

Вирус ищет на локальных и сетевых дисках файлы со следующими расширениями:

  • .exe
  • .scr

Исполняемые файлы заражаются путем добавления кода вируса к последнему разделу

Хост-файл изменен таким способом, который вызывает вирус быть выполнены до запуска исходного кода.

Вирус заражает файлы, на которые ссылаются следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]
  • [HKEY_LOCAL_MACHINE\­Software\­Microsoft\­Windows\­CurrentVersion\­Run]

Это приводит к тому, что вирус запускается при каждом запуске системы

Распространение на съёмных носителях

Вирус копирует себя в корневые папки removable drives с помощью random filename.

Имя файла имеет одно из следующих расширений:

  • .exe
  • .pif
  • .cmd

Следующий файл хранится в той же папке:

  • autorun.inf

AUTORUN.INF-файл содержит путь к вредоносного исполняемого файла.

Таким образом, вирус обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.

Дополнительная информация

Удаляются следующие файлы:

  • *.vdb
  • *.avc
  • *drw*.key

Отключаются следующие сервисы:

  • AVP
  • Agnitum Client Security Service
  • ALG
  • Amon monitor
  • aswUpdSv
  • aswMon2
  • aswRdr
  • aswSP
  • aswTdi
  • aswFsBlk
  • acssrv
  • AV Engine
  • avast! iAVS4 Control Service
  • avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • avast! Asynchronous Virus Monitor
  • avast! Self Protection
  • AVG E-mail Scanner
  • Avira AntiVir Premium Guard
  • Avira AntiVir Premium WebGuard
  • Avira AntiVir Premium MailGuard
  • BGLiveSvc
  • BlackICE
  • CAISafe
  • ccEvtMgr
  • ccProxy
  • ccSetMgr
  • COMODO Firewall Pro Sandbox Driver
  • cmdGuard
  • cmdAgent
  • Eset Service
  • Eset HTTP Server
  • Eset Personal Firewall
  • F-Prot Antivirus Update Monitor
  • fsbwsys
  • FSDFWD
  • F-Secure Gatekeeper Handler Starter
  • FSMA
  • Google Online Services
  • InoRPC
  • InoRT
  • InoTask
  • ISSVC
  • KPF4
  • KLIF
  • LavasoftFirewall
  • LIVESRV
  • McAfeeFramework
  • McShield
  • McTaskManager
  • MpsSvc
  • navapsvc
  • NOD32krn
  • NPFMntor
  • NSCService
  • Outpost Firewall main module
  • OutpostFirewall
  • PAVFIRES
  • PAVFNSVR
  • PavProt
  • PavPrSrv
  • PAVSRV
  • PcCtlCom
  • PersonalFirewal
  • PREVSRV
  • ProtoPort Firewall service
  • PSIMSVC
  • RapApp
  • SharedAccess
  • SmcService
  • SNDSrvc
  • SPBBCSvc
  • SpIDer FS Monitor for Windows NT
  • SpIDer Guard File System Monitor
  • SPIDERNT
  • Symantec Core LC
  • Symantec Password Validation
  • Symantec AntiVirus Definition Watcher
  • SavRoam
  • Symantec AntiVirus
  • Tmntsrv
  • TmPfw
  • UmxAgent
  • UmxCfg
  • UmxLU
  • UmxPol
  • vsmon
  • VSSERV
  • WebrootDesktopFirewallDataService
  • WebrootFirewall
  • XCOMM
Показать больше
Показать меньше

Вирус завершает процессы с любой из следующих строк в имени:

  • AVPM.
  • A2GUARD
  • A2CMD.
  • A2SERVICE.
  • A2FREE
  • AVAST
  • ADVCHK.
  • AGB.
  • AKRNL.
  • AHPROCMONSERVER.
  • AIRDEFENSE
  • ALERTSVC
  • AVIRA
  • AMON.
  • TROJAN.
  • AVZ.
  • ANTIVIR
  • APVXDWIN.
  • ARMOR2NET.
  • ASHAVAST.
  • ASHDISP.
  • ASHENHCD.
  • ASHMAISV.
  • ASHPOPWZ.
  • ASHSERV.
  • ASHSIMPL.
  • ASHSKPCK.
  • ASHWEBSV.
  • ASWUPDSV.
  • ASWSCAN
  • AVCIMAN.
  • AVCONSOL.
  • AVENGINE.
  • AVESVC.
  • AVEVAL.
  • AVEVL32.
  • AVGAM
  • AVGCC.
  • AVGCHSVX.
  • AVGCSRVX.
  • AVGNSX.
  • AVGCC32.
  • AVGCTRL.
  • AVGEMC.
  • AVGFWSRV.
  • AVGNT.
  • AVCENTER
  • AVGNTMGR
  • AVGSERV.
  • AVGTRAY.
  • AVGUARD.
  • AVGUPSVC.
  • AVGWDSVC.
  • AVINITNT.
  • AVKSERV.
  • AVKSERVICE.
  • AVKWCTL.
  • AVP.
  • AVP32.
  • AVPCC.
  • AVAST
  • AVSERVER.
  • AVSCHED32.
  • AVSYNMGR.
  • AVWUPD32.
  • AVWUPSRV.
  • AVXMONITOR
  • AVXQUAR.
  • BDSWITCH.
  • BLACKD.
  • BLACKICE.
  • CAFIX.
  • BITDEFENDER
  • CCEVTMGR.
  • CFP.
  • CFPCONFIG.
  • CCSETMGR.
  • CFIAUDIT.
  • CLAMTRAY.
  • CLAMWIN.
  • CUREIT
  • DEFWATCH.
  • DRVIRUS.
  • DRWADINS.
  • DRWEB
  • DEFENDERDAEMON
  • DWEBLLIO
  • DWEBIO
  • ESCANH95.
  • ESCANHNT.
  • EWIDOCTRL.
  • EZANTIVIRUSREGISTRATIONCHECK.
  • F-AGNT95.
  • FAMEH32.
  • FILEMON
  • FIREWALL
  • FORTICLIENT
  • FORTITRAY.
  • FORTISCAN
  • FPAVSERVER.
  • FPROTTRAY.
  • FPWIN.
  • FRESHCLAM.
  • EKRN.
  • FSAV32.
  • FSAVGUI.
  • FSBWSYS.
  • F-SCHED.
  • FSDFWD.
  • FSGK32.
  • FSGK32ST.
  • FSGUIEXE.
  • FSMA32.
  • FSMB32.
  • FSPEX.
  • FSSM32.
  • F-STOPW.
  • GCASDTSERV.
  • GCASSERV.
  • GIANTANTISPYWARE
  • GUARDGUI.
  • GUARDNT.
  • GUARDXSERVICE.
  • GUARDXKICKOFF.
  • HREGMON.
  • HRRES.
  • HSOCKPE.
  • HUPDATE.
  • IAMAPP.
  • IAMSERV.
  • ICLOAD95.
  • ICLOADNT.
  • ICMON.
  • ICSSUPPNT.
  • ICSUPP95.
  • ICSUPPNT.
  • IPTRAY.
  • INETUPD.
  • INOCIT.
  • INORPC.
  • INORT.
  • INOTASK.
  • INOUPTNG.
  • IOMON98.
  • ISAFE.
  • ISATRAY.
  • KAV.
  • KAVMM.
  • KAVPF.
  • KAVPFW.
  • KAVSTART.
  • KAVSVC.
  • KAVSVCUI.
  • KMAILMON.
  • MAMUTU
  • MCAGENT.
  • MCMNHDLR.
  • MCREGWIZ.
  • MCUPDATE.
  • MCVSSHLD.
  • MINILOG.
  • MYAGTSVC.
  • MYAGTTRY.
  • NAVAPSVC.
  • NAVAPW32.
  • NAVLU32.
  • NAVW32.
  • NEOWATCHLOG.
  • NEOWATCHTRAY.
  • NISSERV
  • NISUM.
  • NMAIN.
  • NOD32
  • NORMIST.
  • NOTSTART.
  • NPAVTRAY.
  • NPFMNTOR.
  • NPFMSG.
  • NPROTECT.
  • NSCHED32.
  • NSMDTR.
  • NSSSERV.
  • NSSTRAY.
  • NTRTSCAN.
  • NTOS.
  • NTXCONFIG.
  • NUPGRADE.
  • NVCOD.
  • NVCTE.
  • NVCUT.
  • NWSERVICE.
  • OFCPFWSVC.
  • OUTPOST
  • ONLINENT.
  • OPSSVC.
  • OP_MON.
  • PAVFIRES.
  • PAVFNSVR.
  • PAVKRE.
  • PAVPROT.
  • PAVPROXY.
  • PAVPRSRV.
  • PAVSRV51.
  • PAVSS.
  • PCCGUIDE.
  • PCCIOMON.
  • PCCNTMON.
  • PCCPFW.
  • PCCTLCOM.
  • PCTAV.
  • PERSFW.
  • PERTSK.
  • PERVAC.
  • PESTPATROL
  • PNMSRV.
  • PREVSRV.
  • PREVX
  • PSIMSVC.
  • QUHLPSVC.
  • QHONLINE.
  • QHONSVC.
  • QHWSCSVC.
  • QHSET.
  • RFWMAIN.
  • RTVSCAN.
  • RTVSCN95.
  • SALITY
  • SAPISSVC.
  • SCANWSCS.
  • SAVADMINSERVICE.
  • SAVMAIN.
  • SAVPROGRESS.
  • SAVSCAN.
  • SCANNINGPROCESS.
  • SDRA64.
  • SDHELP.
  • SHSTAT.
  • SITECLI.
  • SPBBCSVC.
  • SPHINX.
  • SPIDERCPL.
  • SPIDERML.
  • SPIDERNT.
  • SPIDERUI.
  • SPYBOTSD.
  • SPYXX.
  • SS3EDIT.
  • STOPSIGNAV.
  • SWAGENT.
  • SWDOCTOR.
  • SWNETSUP.
  • SYMLCSVC.
  • SYMPROXYSVC.
  • SYMSPORT.
  • SYMWSC.
  • SYNMGR.
  • TAUMON.
  • TBMON.
  • TMLISTEN.
  • TMNTSRV.
  • TMPROXY.
  • TNBUTIL.
  • TRJSCAN.
  • VBA32ECM.
  • VBA32IFS.
  • VBA32LDR.
  • VBA32PP3.
  • VBSNTW.
  • VCRMON.
  • VPTRAY.
  • VRFWSVC.
  • VRMONNT.
  • VRMONSVC.
  • VRRW32.
  • VSECOMR.
  • VSHWIN32.
  • VSMON.
  • VSSERV.
  • VSSTAT.
  • WATCHDOG.
  • WEBSCANX.
  • WINSSNOTIFY.
  • WRCTRL.
  • XCOMMSVR.
  • ZLCLIENT
  • ZONEALARM
Показать больше
Показать меньше

Вирус содержит список URL-адресов.

Пытается загрузить несколько файлов с удаленных адресов.

Они сохраняются в следующие папки:

  • %temp%\­win%variable%.exe
  • %temp%\­%variable%.exe

Вместо %variable% используется строка с разным содержанием

Затем файлы выполняются

Вирус создает и запускает новый поток с собственным программным кодом во всех запущенных процессах.

Вирус изменяет следующие файлы:

  • SYSTEM.INI

Вирус записывает следующие записи в файл:

  • [MCIDRV_VER]
    • DEVICEMB=%number%
  • DEVICEMB=%number%

Где %number% - это случайное число.

Как удалить

Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:

SalityKille от Kaspersky

WIN32/SALITY remover от AVG

Похожие записи

1 комментарий

  1. Сергій:
    28.12.2016 в 18:20

    Почему нет антивирус для Windows 98? Их же еще большой парк!

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и соглашаюсь c политикой конфиденциальности *

Следите за нами:

Яндекс.Метрика