Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Sality.Y
Entdeckt am:06/08/2008
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:7.00.05.207
Engine Version:8.01.01.018

 General Verbreitungsmethoden:
    Infiziert Dateien
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\drivers\%zufllige Wrter%.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.5509

 Dateiinfektion Art des Infektors:

Eingebettet - Der Virus fgt seinen Code verteilt in die ganze Datei ein. (An einer oder mehreren Stellen)


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verndert sich von einer Infektion zur nchsten. Der Virus enthlt eine polymorphe Engine.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslnge:

etwa 70.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • .EXE

Dateien in folgenden Verzeichnissen und deren Unterverzeichnissen: - translation changed (de)
   • %dirve%
   • \\\

 Registry Der Wert des folgenden Registry keys wird gelscht:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



Folgender Registryschlssel wird hinzugefgt:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Folgende Registryschlssel werden gendert:

[HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   Neuer Wert:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=dword:00000001
   Neuer Wert:
   • "Hidden"=dword:00000002

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • Op1mutx9

Die Beschreibung wurde erstellt von Razvan Olteanu am Montag, 22. März 2010
Die Beschreibung wurde geändert von Razvan Olteanu am Dienstag, 30. März 2010

zurück . . . .