Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Sality.AT
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel bis hoch
Statische Datei:Nein

 Dateien  Folgende Dateien werden gelöscht:
   • *.AVC
   • *.VDB

 Dateiinfektion Art des Infektors:

Appender - Der Virus hängt am Ende der infizierten Datei seinen Code an.
– Die letzte section der Datei wurde modifiziert und enthält virulenten Code.


Selbst-Modifikation:

Polymorph - Der gesamte virulente Code verändert sich von einer Infektion zur nächsten. Der Virus enthält eine polymorphe Engine.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Ignoriert Dateien, die:

– eine der folgenden Zeichenfolgen in ihrem Name enthalten:
   • _AVPM.; A2GUARD.; AAVSHIELD.; AVAST; ADVCHK.; AHNSD.; AIRDEFENSE;
      ALERTSVC; ALOGSERV; ALSVC.; AMON.; ANTI-TROJAN.; AVZ.; ANTIVIR;
      APVXDWIN.; ARMOR2NET.; ASHAVAST.; ASHDISP.; ASHENHCD.; ASHMAISV.;
      ASHPOPWZ.; ASHSERV.; ASHSIMPL.; ASHSKPCK.; ASHWEBSV.; ASWUPDSV.;
      ATCON.; ATUPDATER.; ATWATCH.; AVCIMAN.; AVCONSOL.; AVENGINE.; AVESVC.;
      AVGAMSVR.; AVGCC.; AVGCC32.; AVGCTRL.; AVGEMC.; AVGFWSRV.; AVGNT.;
      AVGNTDD; AVGNTMGR; AVGSERV.; AVGUARD.; AVGUPSVC.; AVINITNT.; AVKSERV.;
      AVKSERVICE.; AVKWCTL.; AVP.; AVP32.; AVPCC.; AVPM.; AVAST; AVSERVER.;
      AVSCHED32.; AVSYNMGR.; AVWUPD32.; AVWUPSRV.; AVXMONITOR9X.;
      AVXMONITORNT.; AVXQUAR.; BDMCON.; BDNEWS.; BDSUBMIT.; BDSWITCH.;
      BLACKD.; BLACKICE.; CAFIX.; CCAPP.; CCEVTMGR.; CCPROXY.; CCSETMGR.;
      CFIAUDIT.; CLAMTRAY.; CLAMWIN.; CLAW95.; CUREIT; DEFWATCH.; DRVIRUS.;
      DRWADINS.; DRWEB32W.; DRWEBSCD.; DRWEBUPW.; DWEBLLIO; DWEBIO;
      ESCANH95.; ESCANHNT.; EWIDOCTRL.; EZANTIVIRUSREGISTRATIONCHECK.;
      F-AGNT95.; FAMEH32.; FILEMON; FIRESVC.; FIRETRAY.; FIREWALL.;
      FPAVUPDM.; FRESHCLAM.; EKRN.; FSAV32.; FSAVGUI.; FSBWSYS.; F-SCHED.;
      FSDFWD.; FSGK32.; FSGK32ST.; FSGUIEXE.; FSMA32.; FSMB32.; FSPEX.;
      FSSM32.; F-STOPW.; GCASDTSERV.; GCASSERV.; GIANTANTISPYWAREMAIN.;
      GIANTANTISPYWAREUPDATER.; GUARDGUI.; GUARDNT.; HREGMON.; HRRES.;
      HSOCKPE.; HUPDATE.; IAMAPP.; IAMSERV.; ICLOAD95.; ICLOADNT.; ICMON.;
      ICSSUPPNT.; ICSUPP95.; ICSUPPNT.; IFACE.; INETUPD.; INOCIT.; INORPC.;
      INORT.; INOTASK.; INOUPTNG.; IOMON98.; ISAFE.; ISATRAY.; ISRV95.;
      ISSVC.; KAV.; KAVMM.; KAVPF.; KAVPFW.; KAVSTART.; KAVSVC.; KAVSVCUI.;
      KMAILMON.; KPFWSVC.; MCAGENT.; MCMNHDLR.; MCREGWIZ.; MCUPDATE.;
      MCVSSHLD.; MINILOG.; MYAGTSVC.; MYAGTTRY.; NAVAPSVC.; NAVAPW32.;
      NAVLU32.; NAVW32.; NEOWATCHLOG.; NEOWATCHTRAY.; NISSERV; NISUM.;
      NMAIN.; NOD32; NORMIST.; NOTSTART.; NPAVTRAY.; NPFMNTOR.; NPFMSG.;
      NPROTECT.; NSCHED32.; NSMDTR.; NSSSERV.; NSSTRAY.; NTRTSCAN.; NTOS.;
      NTXCONFIG.; NUPGRADE.; NVCOD.; NVCTE.; NVCUT.; NWSERVICE.; OFCPFWSVC.;
      OUTPOST; OP_MON.; PAVFIRES.; PAVFNSVR.; PAVKRE.; PAVPROT.; PAVPROXY.;
      PAVPRSRV.; PAVSRV51.; PAVSS.; PCCGUIDE.; PCCIOMON.; PCCNTMON.;
      PCCPFW.; PCCTLCOM.; PCTAV.; PERSFW.; PERTSK.; PERVAC.; PNMSRV.;
      POP3TRAP.; POPROXY.; PREVSRV.; PSIMSVC.; QHONLINE.; QHONSVC.;
      QHWSCSVC.; RAVMON.; RAVTIMER.; AVGNT; AVCENTER.; RFWMAIN.; RTVSCAN.;
      RTVSCN95.; RULAUNCH.; SALITY; SAVADMINSERVICE.; SAVMAIN.;
      SAVPROGRESS.; SAVSCAN.; SCANNINGPROCESS.; SDRA64.; SDHELP.; SHSTAT.;
      SITECLI.; SPBBCSVC.; SPHINX.; SPIDERCPL.; SPIDERML.; SPIDERNT.;
      SPIDERUI.; SPYBOTSD.; SPYXX.; SS3EDIT.; STOPSIGNAV.; SWAGENT.;
      SWDOCTOR.; SWNETSUP.; SYMLCSVC.; SYMPROXYSVC.; SYMSPORT.; SYMWSC.;
      SYNMGR.; TAUMON.; TBMON.; AVAST; TMLISTEN.; TMNTSRV.; TMPFW.;
      TMPROXY.; TNBUTIL.; TRJSCAN.; UP2DATE.; VBA32ECM.; VBA32IFS.;
      VBA32LDR.; VBA32PP3.; VBSNTW.; VCRMON.; VPTRAY.; VRFWSVC.; VRMONNT.;
      VRMONSVC.; VRRW32.; VSECOMR.; VSHWIN32.; VSMON.; VSSERV.; VSSTAT.;
      WATCHDOG.; WEBSCANX.; WEBTRAP.; WGFE95.; WINAW32.; WINROUTE.; WINSS.;
      WINSSNOTIFY.; WRCTRL.; XCOMMSVR.; ZAUINST; ZLCLIENT; ZONEALARM

– sind SFC-geschützt (Windows System File Checker)


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe
   • *.scr

 Registry  Alle Werte der folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • HKLM\System\CurrentControlSet\Control\SafeBoot
   • HKCU\System\CurrentControlSet\Control\SafeBoot



Um die Windows XP Firewall zu umgehen wird folgender Eintrag erstellt:



Folgende Registryschlüssel werden hinzugefügt:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   • "DisableTaskMgr"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   • "DisableRegistryTools"=dword:00000001

 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • _AVPM.; A2GUARD.; AAVSHIELD.; AVAST; ADVCHK.; AHNSD.; AIRDEFENSE;
      ALERTSVC; ALOGSERV; ALSVC.; AMON.; ANTI-TROJAN.; AVZ.; ANTIVIR;
      APVXDWIN.; ARMOR2NET.; ASHAVAST.; ASHDISP.; ASHENHCD.; ASHMAISV.;
      ASHPOPWZ.; ASHSERV.; ASHSIMPL.; ASHSKPCK.; ASHWEBSV.; ASWUPDSV.;
      ATCON.; ATUPDATER.; ATWATCH.; AVCIMAN.; AVCONSOL.; AVENGINE.; AVESVC.;
      AVGAMSVR.; AVGCC.; AVGCC32.; AVGCTRL.; AVGEMC.; AVGFWSRV.; AVGNT.;
      AVGNTDD; AVGNTMGR; AVGSERV.; AVGUARD.; AVGUPSVC.; AVINITNT.; AVKSERV.;
      AVKSERVICE.; AVKWCTL.; AVP.; AVP32.; AVPCC.; AVPM.; AVAST; AVSERVER.;
      AVSCHED32.; AVSYNMGR.; AVWUPD32.; AVWUPSRV.; AVXMONITOR9X.;
      AVXMONITORNT.; AVXQUAR.; BDMCON.; BDNEWS.; BDSUBMIT.; BDSWITCH.;
      BLACKD.; BLACKICE.; CAFIX.; CCAPP.; CCEVTMGR.; CCPROXY.; CCSETMGR.;
      CFIAUDIT.; CLAMTRAY.; CLAMWIN.; CLAW95.; CUREIT; DEFWATCH.; DRVIRUS.;
      DRWADINS.; DRWEB32W.; DRWEBSCD.; DRWEBUPW.; DWEBLLIO; DWEBIO;
      ESCANH95.; ESCANHNT.; EWIDOCTRL.; EZANTIVIRUSREGISTRATIONCHECK.;
      F-AGNT95.; FAMEH32.; FILEMON; FIRESVC.; FIRETRAY.; FIREWALL.;
      FPAVUPDM.; FRESHCLAM.; EKRN.; FSAV32.; FSAVGUI.; FSBWSYS.; F-SCHED.;
      FSDFWD.; FSGK32.; FSGK32ST.; FSGUIEXE.; FSMA32.; FSMB32.; FSPEX.;
      FSSM32.; F-STOPW.; GCASDTSERV.; GCASSERV.; GIANTANTISPYWAREMAIN.;
      GIANTANTISPYWAREUPDATER.; GUARDGUI.; GUARDNT.; HREGMON.; HRRES.;
      HSOCKPE.; HUPDATE.; IAMAPP.; IAMSERV.; ICLOAD95.; ICLOADNT.; ICMON.;
      ICSSUPPNT.; ICSUPP95.; ICSUPPNT.; IFACE.; INETUPD.; INOCIT.; INORPC.;
      INORT.; INOTASK.; INOUPTNG.; IOMON98.; ISAFE.; ISATRAY.; ISRV95.;
      ISSVC.; KAV.; KAVMM.; KAVPF.; KAVPFW.; KAVSTART.; KAVSVC.; KAVSVCUI.;
      KMAILMON.; KPFWSVC.; MCAGENT.; MCMNHDLR.; MCREGWIZ.; MCUPDATE.;
      MCVSSHLD.; MINILOG.; MYAGTSVC.; MYAGTTRY.; NAVAPSVC.; NAVAPW32.;
      NAVLU32.; NAVW32.; NEOWATCHLOG.; NEOWATCHTRAY.; NISSERV; NISUM.;
      NMAIN.; NOD32; NORMIST.; NOTSTART.; NPAVTRAY.; NPFMNTOR.; NPFMSG.;
      NPROTECT.; NSCHED32.; NSMDTR.; NSSSERV.; NSSTRAY.; NTRTSCAN.; NTOS.;
      NTXCONFIG.; NUPGRADE.; NVCOD.; NVCTE.; NVCUT.; NWSERVICE.; OFCPFWSVC.;
      OUTPOST; OP_MON.; PAVFIRES.; PAVFNSVR.; PAVKRE.; PAVPROT.; PAVPROXY.;
      PAVPRSRV.; PAVSRV51.; PAVSS.; PCCGUIDE.; PCCIOMON.; PCCNTMON.;
      PCCPFW.; PCCTLCOM.; PCTAV.; PERSFW.; PERTSK.; PERVAC.; PNMSRV.;
      POP3TRAP.; POPROXY.; PREVSRV.; PSIMSVC.; QHONLINE.; QHONSVC.;
      QHWSCSVC.; RAVMON.; RAVTIMER.; AVGNT; AVCENTER.; RFWMAIN.; RTVSCAN.;
      RTVSCN95.; RULAUNCH.; SALITY; SAVADMINSERVICE.; SAVMAIN.;
      SAVPROGRESS.; SAVSCAN.; SCANNINGPROCESS.; SDRA64.; SDHELP.; SHSTAT.;
      SITECLI.; SPBBCSVC.; SPHINX.; SPIDERCPL.; SPIDERML.; SPIDERNT.;
      SPIDERUI.; SPYBOTSD.; SPYXX.; SS3EDIT.; STOPSIGNAV.; SWAGENT.;
      SWDOCTOR.; SWNETSUP.; SYMLCSVC.; SYMPROXYSVC.; SYMSPORT.; SYMWSC.;
      SYNMGR.; TAUMON.; TBMON.; AVAST; TMLISTEN.; TMNTSRV.; TMPFW.;
      TMPROXY.; TNBUTIL.; TRJSCAN.; UP2DATE.; VBA32ECM.; VBA32IFS.;
      VBA32LDR.; VBA32PP3.; VBSNTW.; VCRMON.; VPTRAY.; VRFWSVC.; VRMONNT.;
      VRMONSVC.; VRRW32.; VSECOMR.; VSHWIN32.; VSMON.; VSSERV.; VSSTAT.;
      WATCHDOG.; WEBSCANX.; WEBTRAP.; WGFE95.; WINAW32.; WINROUTE.; WINSS.;
      WINSSNOTIFY.; WRCTRL.; XCOMMSVR.; ZAUINST; ZLCLIENT; ZONEALARM


Liste der Dienste die beendet werden:
   • Agnitum Client Security Service; ALG; Amon monitor; aswUpdSv; aswMon2;
      aswRdr; aswSP; aswTdi; aswFsBlk; acssrv; AV Engine; avast! iAVS4
      Control Service; avast! Antivirus; avast! Mail Scanner; avast! Web
      Scanner; avast! Asynchronous Virus Monitor; avast! Self Protection;
      AVG E-mail Scanner; Avira AntiVir Premium Guard; Avira AntiVir Premium
      WebGuard; Avira AntiVir Premium MailGuard; AVP; avp1; BackWeb Plug-in
      - 4476822; bdss; BGLiveSvc; BlackICE; CAISafe; ccEvtMgr; ccProxy;
      ccSetMgr; COMODO Firewall Pro Sandbox Driver; cmdGuard; cmdAgent; Eset
      Service; Eset HTTP Server; Eset Personal Firewall; F-Prot Antivirus
      Update Monitor; fsbwsys; FSDFWD; F-Secure Gatekeeper Handler Starter;
      FSMA; Google Online Services; InoRPC; InoRT; InoTask; ISSVC; KPF4;
      KLIF; LavasoftFirewall; LIVESRV; McAfeeFramework; McShield;
      McTaskManager; navapsvc; NOD32krn; NPFMntor; NSCService; Outpost
      Firewall main module; OutpostFirewall; PAVFIRES; PAVFNSVR; PavProt;
      PavPrSrv; PAVSRV; PcCtlCom; PersonalFirewal; PREVSRV; ProtoPort
      Firewall service; PSIMSVC; RapApp; SmcService; SNDSrvc; SPBBCSvc;
      SpIDer FS Monitor for Windows NT; SpIDer Guard File System Monitor;
      SPIDERNT; Symantec Core LC; Symantec Password Validation; Symantec
      AntiVirus Definition Watcher; SavRoam; Symantec AntiVirus; Tmntsrv;
      TmPfw; tmproxy; tcpsr; UmxAgent; UmxCfg; UmxLU; UmxPol; vsmon; VSSERV;
      WebrootDesktopFirewallDataService; WebrootFirewall; XCOMM

 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • www.klkjwre9fqwieluoi.info
   • kukutrustnet777888.info
   • klkjwre77638dfqwieuoi888.info
   • 89.119.67.154
   • kukutrustnet777.info
   • kukutrustnet888.info
   • kukutrustnet987.info


Mutex:
Es werden folgende Mutexe erzeugt:
   • Ap1mutx7
   • uxJLpe1m

Die Beschreibung wurde erstellt von Razvan Olteanu am Donnerstag, 30. September 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 13. Oktober 2010

zurück . . . .