Name:W32/Sality.Y
Entdeckt am:06/08/2008
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein
IVDF Version:7.00.05.207
Engine Version:8.01.01.018

 General Verbreitungsmethoden:
   • Infiziert Dateien
   • Lokales Netzwerk
   • Gemappte Netzlaufwerke


Aliases:
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Infiziert Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\drivers\%zufällige Wörter%.sys Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Agent.5509

 Dateiinfektion Art des Infektors:

Eingebettet - Der Virus fügt seinen Code verteilt in die ganze Datei ein. (An einer oder mehreren Stellen)


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 70.000 Bytes


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • .EXE

Dateien in folgenden Verzeichnissen und deren Unterverzeichnissen: - translation changed (de)
   • %dirve%
   • \\\

 Registry Der Wert des folgenden Registry keys wird gelöscht:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



Folgender Registryschlüssel wird hinzugefügt:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Folgende Registryschlüssel werden geändert:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Alter Wert:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   Neuer Wert:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=dword:00000001
   Neuer Wert:
   • "Hidden"=dword:00000002

 Diverses Mutex:
Es wird folgender Mutex erzeugt:
   • Op1mutx9

Die Beschreibung wurde erstellt von Razvan Olteanu am Montag, 22. März 2010
Die Beschreibung wurde geändert von Razvan Olteanu am Dienstag, 30. März 2010

zurück . . . .