Name:W32/Sality.AA
Entdeckt am:21/11/2008
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:7.00.00.101 - Mittwoch, 17. Oktober 2007
Engine Version:8.2.0.35

 General Verbreitungsmethoden:
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke


Aliases:
   •  Mcafee: W32/Sality.gen virus
   •  Kaspersky: Virus.Win32.Sality.aa
   •  F-Secure: Virus.Win32.Sality.aa
   •  Eset: Win32/Sality.NAU virus
   •  Bitdefender: Win32.Sality.OG


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Registry Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusOverride"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001



Folgende Registryschlüssel werden geändert:

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=dword:00000001
   Neuer Wert:
   • "Hidden"=dword:00000002

Deaktiviere Windows XP Firewall:
– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   • "UacDisableNotify"=dword:00000000
   Neuer Wert:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system]
   Alter Wert:
   • "DisableTaskMgr"=dword:00000000
   • "DisableRegistryTools"=dword:00000000
   Neuer Wert:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

 Dateiinfektion Methode:
Dieser memory-restistent infector bleibt aktiv im Speicher.


The following files are infected (P) (de)
By file type (de)
   • *.EXE

Die Beschreibung wurde erstellt von Viktor Graeber am Donnerstag, 6. August 2009
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 16. Dezember 2009

zurück . . . .