win32Sality.NAC这个病毒怎么杀

Aliases: .PE_SALITY (Trend), W32.HLLP.Sality (Symantec), W32/Kookoo (Sophos), Virus.Win32.Sality (Kaspersky)

Type: Win32 parasitic encrypted file infector virus

Affect: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP

病毒特征：樱段

Win32.Sality是一种多形态病毒，感染Win32 PE可运行程序。它还包含特洛伊的成分。已知的Win32.Sality病毒被Win32/Bagle family变体下载。

感染方式

当一个被感染文件被运行时，病毒解密自身并在%System%目录中生成一个DLL文件。DLL文件被注入其它的运行程序。随后病毒运行主程序代码。

已经发现的Sality病毒变体可能使用以下名称：

§ %System%\syslib32.dll

§ %System%\oledsp32.dll

§ %System%\olemdb32.dll

§ %System%\wcimgr32.dll

§ %System%\wmimgr32.dll

Sality的很多变体还会尝试感染可运行文件，参考以下注册表键值：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

这样能够使病毒在每次系统启动时运行。

传播方式

通过文件感染

Sality查找本地C:\ 到 Y:\ 的Windows PE文件进行感染。一些变体不感染大小在4K以下或者在20M以上的文件。病毒在它的固有码运行入口替代代码，并添加一个加密的病毒副本到主文件，随后运行主程序代码来隐藏旦衡病毒的存在。

字串3

通过网络共享传播

Sality列举网络上的共享，随后查找本地共享中的Windows PE运行文件。

危害

窃取系统信息

一些Sality变体收集被感染系统信息，并将信息发送到mail.ru域。

发送的信息包括以下一些内容：

§ OS 版本脊迟誉

§ IP 地址

§ 计算机名

§ 最近访问的URL

§ 密码

§ ISP 拨号连接详细资料和密码

下载并运行任意文件

Sality变体连接特定的域，这个域提供指令进行下载并运行文件，例如：

hut2.ru

invis1blearm3333.com

egozdq.com

5558x7.com

wtcvxu.com

fdpgb3.com

bpfq02.com

u7zywp.com

zvco6m.com

qiredremer.biz

sbapodremer.biz

pgpwdremer.biz

gogcojdremer.biz

rus0396kuku.com

vrrnscdremer.biz

connect2me.org

下载的文件可能为远程未经授权的用户来控制被感染的机器。Sality还会下载其它病毒，例如Win32/Onecooked。

删除文件

Sality查找C:\ 到 Y:\ 子目录中以下扩展名的文件：

.vdb

.avc

找到的文件就被删除。这样会使某些AV产品失效或者削弱.

经常在网上中病毒木马根本的原因是IE浏览器执行脚本文件才中的.所以根本的问题是换浏览器..这里我可以向你推荐火狐游览器..常在河边走那能不湿鞋. 防d窗,防木马.看网页速度很快. 字串5

这样从根本上就杜绝了病毒在游览器中的运行.不然以后没事就是个杀毒...好处自己看吧.防熊猫毒这类的很管用..