Aliases: .PE_SALITY (Trend), W32.HLLP.Sality (Symantec), W32/Kookoo (Sophos), Virus.Win32.Sality (Kaspersky)
Type: Win32 parasitic encrypted file infector virus
Affect: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP
病毒特征:樱段
Win32.Sality是一种多形态病毒,感染Win32 PE可运行程序。它还包含特洛伊的成分。已知的Win32.Sality病毒被Win32/Bagle family变体下载。
感染方式
当一个被感染文件被运行时,病毒解密自身并在%System%目录中生成一个DLL文件。DLL文件被注入其它的运行程序。随后病毒运行主程序代码。
已经发现的Sality病毒变体可能使用以下名称:
§ %System%\syslib32.dll
§ %System%\oledsp32.dll
§ %System%\olemdb32.dll
§ %System%\wcimgr32.dll
§ %System%\wmimgr32.dll
Sality的很多变体还会尝试感染可运行文件,参考以下注册表键值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
这样能够使病毒在每次系统启动时运行。
传播方式
通过文件感染
Sality查找本地C:\ 到 Y:\ 的Windows PE文件进行感染。一些变体不感染大小在4K以下或者在20M以上的文件。病毒在它的固有码运行入口替代代码,并添加一个加密的病毒副本到主文件,随后运行主程序代码来隐藏旦衡病毒的存在。
字串3
通过网络共享传播
Sality列举网络上的共享,随后查找本地共享中的Windows PE运行文件。
危害
窃取系统信息
一些Sality变体收集被感染系统信息,并将信息发送到mail.ru域。
发送的信息包括以下一些内容:
§ OS 版本脊迟誉
§ IP 地址
§ 计算机名
§ 最近访问的URL
§ 密码
§ ISP 拨号连接详细资料和密码
下载并运行任意文件
Sality变体连接特定的域,这个域提供指令进行下载并运行文件,例如:
hut2.ru
invis1blearm3333.com
egozdq.com
5558x7.com
wtcvxu.com
fdpgb3.com
bpfq02.com
u7zywp.com
zvco6m.com
qiredremer.biz
sbapodremer.biz
pgpwdremer.biz
gogcojdremer.biz
rus0396kuku.com
vrrnscdremer.biz
connect2me.org
下载的文件可能为远程未经授权的用户来控制被感染的机器。Sality还会下载其它病毒,例如Win32/Onecooked。
删除文件
Sality查找C:\ 到 Y:\ 子目录中以下扩展名的文件:
.vdb
.avc
找到的文件就被删除。这样会使某些AV产品失效或者削弱.
经常在网上中病毒木马根本的原因是IE浏览器执行脚本文件才中的.所以根本的问题是换浏览器..这里我可以向你推荐火狐游览器..常在河边走那能不湿鞋. 防d窗,防木马.看网页速度很快. 字串5
这样从根本上就杜绝了病毒在游览器中的运行.不然以后没事就是个杀毒...好处自己看吧.防熊猫毒这类的很管用..
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)