Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Sality.L
Entdeckt am:29/06/2006
Art:File Infector
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigre:77.824 Bytes
MD5 Prfsumme:0b59dde5aef0895efb89fd32c06eaf67
VDF Version:6.35.00.93
IVDF Version:6.35.00.108 - Montag, 3. Juli 2006

 Allgemein Verbreitungsmethoden:
    Infiziert Dateien
   • Lokales Netzwerk


Aliases:
   •  Kaspersky: Email-Worm.Win32.VB.bf
   •  F-Secure: Email-Worm:W32/Rays.B
   •  Sophos: W32/Sality-AI
   •  Bitdefender: Trojan.Agent.VB.BFY
     AVG: Win32/Sality
   •  Grisoft: Win32/Sality
   •  Eset: Win32/Sality.NAE virus
     DrWeb: Win32.HLLW.Generic.98


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Erstellt schdliche Dateien
Infiziert Dateien

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %WINDIR%\FONTS\%zufllige Buchstabenkombination%.com



Die folgende Datei wird gendert:
   • %WINDIR%\system.ini



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %SYSDIR%\olemdb32.dl_

%SYSDIR%\olemdb32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: W32/Sality.L

 Registry Einer der folgenden Werte wird dem Registry key hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TempCom"="%WINDIR%\FONTS\%zufllige Buchstabenkombination%.com"



Folgende Registryschlssel werden gendert:

Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Alter Wert:
   • "FullPath"="dword:0x00000000"
   Neuer Wert:
   • "FullPath"="dword:0x00000001"

Verschiedenste Einstellungen des Explorers:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"="dword:0x00000001"
   • "HideFileExt"="dword:0x00000000"
   • "TaskbarGlomming"="dword:0x00000000"
   Neuer Wert:
   • "Hidden"="dword:0x00000000"
   • "HideFileExt"="dword:0x00000001"
   • "TaskbarGlomming"="dword:0x00000000"

 Dateiinfektion Art des Infektors:

Appender - Der Virus hngt am Ende der infizierten Datei seinen Code an.
Die folgende Section wird an die infizierte Datei angehngt:   1 Abschnitte werden der infizierten Datei hinzugefgt.
   • krdata

Eingebettet - Der Virus fgt seinen Code verteilt in die ganze Datei ein. (An einer oder mehreren Stellen)


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Die folgende Datei ist infiziert:

Nach Dateiname:
   • *.exe

Die Beschreibung wurde erstellt von Chiaho Heng am Montag, 11. April 2011
Die Beschreibung wurde geändert von Chiaho Heng am Mittwoch, 13. April 2011

zurück . . . .