Need help? Ask the community or hire an expert.
Go to Avira Answers
Virus:W32/Sality.AT
Type:File infector
In the wild:No
Reported Infections:Low
Distribution Potential:Medium to high
Damage Potential:Medium to high
Static file:No

 Files  It deletes the following files:
   • *.AVC
   • *.VDB

 File infection Infector type:

Appender - The virus main code is added at the end of the infected file.
– The last section of the file is modified to include the virus code.


Self Modification:

Polymorphic - The entire virus code changes from one infection to another. The virus contains a polymorphic engine.


Method:

This direct-action infector actively searches for files.


Ignores files that:

– Contain any of the following strings in their name:
   • _AVPM.; A2GUARD.; AAVSHIELD.; AVAST; ADVCHK.; AHNSD.; AIRDEFENSE;
      ALERTSVC; ALOGSERV; ALSVC.; AMON.; ANTI-TROJAN.; AVZ.; ANTIVIR;
      APVXDWIN.; ARMOR2NET.; ASHAVAST.; ASHDISP.; ASHENHCD.; ASHMAISV.;
      ASHPOPWZ.; ASHSERV.; ASHSIMPL.; ASHSKPCK.; ASHWEBSV.; ASWUPDSV.;
      ATCON.; ATUPDATER.; ATWATCH.; AVCIMAN.; AVCONSOL.; AVENGINE.; AVESVC.;
      AVGAMSVR.; AVGCC.; AVGCC32.; AVGCTRL.; AVGEMC.; AVGFWSRV.; AVGNT.;
      AVGNTDD; AVGNTMGR; AVGSERV.; AVGUARD.; AVGUPSVC.; AVINITNT.; AVKSERV.;
      AVKSERVICE.; AVKWCTL.; AVP.; AVP32.; AVPCC.; AVPM.; AVAST; AVSERVER.;
      AVSCHED32.; AVSYNMGR.; AVWUPD32.; AVWUPSRV.; AVXMONITOR9X.;
      AVXMONITORNT.; AVXQUAR.; BDMCON.; BDNEWS.; BDSUBMIT.; BDSWITCH.;
      BLACKD.; BLACKICE.; CAFIX.; CCAPP.; CCEVTMGR.; CCPROXY.; CCSETMGR.;
      CFIAUDIT.; CLAMTRAY.; CLAMWIN.; CLAW95.; CUREIT; DEFWATCH.; DRVIRUS.;
      DRWADINS.; DRWEB32W.; DRWEBSCD.; DRWEBUPW.; DWEBLLIO; DWEBIO;
      ESCANH95.; ESCANHNT.; EWIDOCTRL.; EZANTIVIRUSREGISTRATIONCHECK.;
      F-AGNT95.; FAMEH32.; FILEMON; FIRESVC.; FIRETRAY.; FIREWALL.;
      FPAVUPDM.; FRESHCLAM.; EKRN.; FSAV32.; FSAVGUI.; FSBWSYS.; F-SCHED.;
      FSDFWD.; FSGK32.; FSGK32ST.; FSGUIEXE.; FSMA32.; FSMB32.; FSPEX.;
      FSSM32.; F-STOPW.; GCASDTSERV.; GCASSERV.; GIANTANTISPYWAREMAIN.;
      GIANTANTISPYWAREUPDATER.; GUARDGUI.; GUARDNT.; HREGMON.; HRRES.;
      HSOCKPE.; HUPDATE.; IAMAPP.; IAMSERV.; ICLOAD95.; ICLOADNT.; ICMON.;
      ICSSUPPNT.; ICSUPP95.; ICSUPPNT.; IFACE.; INETUPD.; INOCIT.; INORPC.;
      INORT.; INOTASK.; INOUPTNG.; IOMON98.; ISAFE.; ISATRAY.; ISRV95.;
      ISSVC.; KAV.; KAVMM.; KAVPF.; KAVPFW.; KAVSTART.; KAVSVC.; KAVSVCUI.;
      KMAILMON.; KPFWSVC.; MCAGENT.; MCMNHDLR.; MCREGWIZ.; MCUPDATE.;
      MCVSSHLD.; MINILOG.; MYAGTSVC.; MYAGTTRY.; NAVAPSVC.; NAVAPW32.;
      NAVLU32.; NAVW32.; NEOWATCHLOG.; NEOWATCHTRAY.; NISSERV; NISUM.;
      NMAIN.; NOD32; NORMIST.; NOTSTART.; NPAVTRAY.; NPFMNTOR.; NPFMSG.;
      NPROTECT.; NSCHED32.; NSMDTR.; NSSSERV.; NSSTRAY.; NTRTSCAN.; NTOS.;
      NTXCONFIG.; NUPGRADE.; NVCOD.; NVCTE.; NVCUT.; NWSERVICE.; OFCPFWSVC.;
      OUTPOST; OP_MON.; PAVFIRES.; PAVFNSVR.; PAVKRE.; PAVPROT.; PAVPROXY.;
      PAVPRSRV.; PAVSRV51.; PAVSS.; PCCGUIDE.; PCCIOMON.; PCCNTMON.;
      PCCPFW.; PCCTLCOM.; PCTAV.; PERSFW.; PERTSK.; PERVAC.; PNMSRV.;
      POP3TRAP.; POPROXY.; PREVSRV.; PSIMSVC.; QHONLINE.; QHONSVC.;
      QHWSCSVC.; RAVMON.; RAVTIMER.; AVGNT; AVCENTER.; RFWMAIN.; RTVSCAN.;
      RTVSCN95.; RULAUNCH.; SALITY; SAVADMINSERVICE.; SAVMAIN.;
      SAVPROGRESS.; SAVSCAN.; SCANNINGPROCESS.; SDRA64.; SDHELP.; SHSTAT.;
      SITECLI.; SPBBCSVC.; SPHINX.; SPIDERCPL.; SPIDERML.; SPIDERNT.;
      SPIDERUI.; SPYBOTSD.; SPYXX.; SS3EDIT.; STOPSIGNAV.; SWAGENT.;
      SWDOCTOR.; SWNETSUP.; SYMLCSVC.; SYMPROXYSVC.; SYMSPORT.; SYMWSC.;
      SYNMGR.; TAUMON.; TBMON.; AVAST; TMLISTEN.; TMNTSRV.; TMPFW.;
      TMPROXY.; TNBUTIL.; TRJSCAN.; UP2DATE.; VBA32ECM.; VBA32IFS.;
      VBA32LDR.; VBA32PP3.; VBSNTW.; VCRMON.; VPTRAY.; VRFWSVC.; VRMONNT.;
      VRMONSVC.; VRRW32.; VSECOMR.; VSHWIN32.; VSMON.; VSSERV.; VSSTAT.;
      WATCHDOG.; WEBSCANX.; WEBTRAP.; WGFE95.; WINAW32.; WINROUTE.; WINSS.;
      WINSSNOTIFY.; WRCTRL.; XCOMMSVR.; ZAUINST; ZLCLIENT; ZONEALARM

– are SFC protected (Windows System File Checker)


The following files are infected:

By file type:
   • *.exe
   • *.scr

 Registry  The following registry keys including all values and subkeys are removed:
   • HKLM\System\CurrentControlSet\Control\SafeBoot
   • HKCU\System\CurrentControlSet\Control\SafeBoot



It creates the following entry in order to bypass the Windows XP firewall:



The following registry keys are added:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   • "DisableTaskMgr"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
   • "DisableRegistryTools"=dword:00000001

 Process termination Processes with one of the following strings are terminated:
   • _AVPM.; A2GUARD.; AAVSHIELD.; AVAST; ADVCHK.; AHNSD.; AIRDEFENSE;
      ALERTSVC; ALOGSERV; ALSVC.; AMON.; ANTI-TROJAN.; AVZ.; ANTIVIR;
      APVXDWIN.; ARMOR2NET.; ASHAVAST.; ASHDISP.; ASHENHCD.; ASHMAISV.;
      ASHPOPWZ.; ASHSERV.; ASHSIMPL.; ASHSKPCK.; ASHWEBSV.; ASWUPDSV.;
      ATCON.; ATUPDATER.; ATWATCH.; AVCIMAN.; AVCONSOL.; AVENGINE.; AVESVC.;
      AVGAMSVR.; AVGCC.; AVGCC32.; AVGCTRL.; AVGEMC.; AVGFWSRV.; AVGNT.;
      AVGNTDD; AVGNTMGR; AVGSERV.; AVGUARD.; AVGUPSVC.; AVINITNT.; AVKSERV.;
      AVKSERVICE.; AVKWCTL.; AVP.; AVP32.; AVPCC.; AVPM.; AVAST; AVSERVER.;
      AVSCHED32.; AVSYNMGR.; AVWUPD32.; AVWUPSRV.; AVXMONITOR9X.;
      AVXMONITORNT.; AVXQUAR.; BDMCON.; BDNEWS.; BDSUBMIT.; BDSWITCH.;
      BLACKD.; BLACKICE.; CAFIX.; CCAPP.; CCEVTMGR.; CCPROXY.; CCSETMGR.;
      CFIAUDIT.; CLAMTRAY.; CLAMWIN.; CLAW95.; CUREIT; DEFWATCH.; DRVIRUS.;
      DRWADINS.; DRWEB32W.; DRWEBSCD.; DRWEBUPW.; DWEBLLIO; DWEBIO;
      ESCANH95.; ESCANHNT.; EWIDOCTRL.; EZANTIVIRUSREGISTRATIONCHECK.;
      F-AGNT95.; FAMEH32.; FILEMON; FIRESVC.; FIRETRAY.; FIREWALL.;
      FPAVUPDM.; FRESHCLAM.; EKRN.; FSAV32.; FSAVGUI.; FSBWSYS.; F-SCHED.;
      FSDFWD.; FSGK32.; FSGK32ST.; FSGUIEXE.; FSMA32.; FSMB32.; FSPEX.;
      FSSM32.; F-STOPW.; GCASDTSERV.; GCASSERV.; GIANTANTISPYWAREMAIN.;
      GIANTANTISPYWAREUPDATER.; GUARDGUI.; GUARDNT.; HREGMON.; HRRES.;
      HSOCKPE.; HUPDATE.; IAMAPP.; IAMSERV.; ICLOAD95.; ICLOADNT.; ICMON.;
      ICSSUPPNT.; ICSUPP95.; ICSUPPNT.; IFACE.; INETUPD.; INOCIT.; INORPC.;
      INORT.; INOTASK.; INOUPTNG.; IOMON98.; ISAFE.; ISATRAY.; ISRV95.;
      ISSVC.; KAV.; KAVMM.; KAVPF.; KAVPFW.; KAVSTART.; KAVSVC.; KAVSVCUI.;
      KMAILMON.; KPFWSVC.; MCAGENT.; MCMNHDLR.; MCREGWIZ.; MCUPDATE.;
      MCVSSHLD.; MINILOG.; MYAGTSVC.; MYAGTTRY.; NAVAPSVC.; NAVAPW32.;
      NAVLU32.; NAVW32.; NEOWATCHLOG.; NEOWATCHTRAY.; NISSERV; NISUM.;
      NMAIN.; NOD32; NORMIST.; NOTSTART.; NPAVTRAY.; NPFMNTOR.; NPFMSG.;
      NPROTECT.; NSCHED32.; NSMDTR.; NSSSERV.; NSSTRAY.; NTRTSCAN.; NTOS.;
      NTXCONFIG.; NUPGRADE.; NVCOD.; NVCTE.; NVCUT.; NWSERVICE.; OFCPFWSVC.;
      OUTPOST; OP_MON.; PAVFIRES.; PAVFNSVR.; PAVKRE.; PAVPROT.; PAVPROXY.;
      PAVPRSRV.; PAVSRV51.; PAVSS.; PCCGUIDE.; PCCIOMON.; PCCNTMON.;
      PCCPFW.; PCCTLCOM.; PCTAV.; PERSFW.; PERTSK.; PERVAC.; PNMSRV.;
      POP3TRAP.; POPROXY.; PREVSRV.; PSIMSVC.; QHONLINE.; QHONSVC.;
      QHWSCSVC.; RAVMON.; RAVTIMER.; AVGNT; AVCENTER.; RFWMAIN.; RTVSCAN.;
      RTVSCN95.; RULAUNCH.; SALITY; SAVADMINSERVICE.; SAVMAIN.;
      SAVPROGRESS.; SAVSCAN.; SCANNINGPROCESS.; SDRA64.; SDHELP.; SHSTAT.;
      SITECLI.; SPBBCSVC.; SPHINX.; SPIDERCPL.; SPIDERML.; SPIDERNT.;
      SPIDERUI.; SPYBOTSD.; SPYXX.; SS3EDIT.; STOPSIGNAV.; SWAGENT.;
      SWDOCTOR.; SWNETSUP.; SYMLCSVC.; SYMPROXYSVC.; SYMSPORT.; SYMWSC.;
      SYNMGR.; TAUMON.; TBMON.; AVAST; TMLISTEN.; TMNTSRV.; TMPFW.;
      TMPROXY.; TNBUTIL.; TRJSCAN.; UP2DATE.; VBA32ECM.; VBA32IFS.;
      VBA32LDR.; VBA32PP3.; VBSNTW.; VCRMON.; VPTRAY.; VRFWSVC.; VRMONNT.;
      VRMONSVC.; VRRW32.; VSECOMR.; VSHWIN32.; VSMON.; VSSERV.; VSSTAT.;
      WATCHDOG.; WEBSCANX.; WEBTRAP.; WGFE95.; WINAW32.; WINROUTE.; WINSS.;
      WINSSNOTIFY.; WRCTRL.; XCOMMSVR.; ZAUINST; ZLCLIENT; ZONEALARM


List of services that are disabled:
   • Agnitum Client Security Service; ALG; Amon monitor; aswUpdSv; aswMon2;
      aswRdr; aswSP; aswTdi; aswFsBlk; acssrv; AV Engine; avast! iAVS4
      Control Service; avast! Antivirus; avast! Mail Scanner; avast! Web
      Scanner; avast! Asynchronous Virus Monitor; avast! Self Protection;
      AVG E-mail Scanner; Avira AntiVir Premium Guard; Avira AntiVir Premium
      WebGuard; Avira AntiVir Premium MailGuard; AVP; avp1; BackWeb Plug-in
      - 4476822; bdss; BGLiveSvc; BlackICE; CAISafe; ccEvtMgr; ccProxy;
      ccSetMgr; COMODO Firewall Pro Sandbox Driver; cmdGuard; cmdAgent; Eset
      Service; Eset HTTP Server; Eset Personal Firewall; F-Prot Antivirus
      Update Monitor; fsbwsys; FSDFWD; F-Secure Gatekeeper Handler Starter;
      FSMA; Google Online Services; InoRPC; InoRT; InoTask; ISSVC; KPF4;
      KLIF; LavasoftFirewall; LIVESRV; McAfeeFramework; McShield;
      McTaskManager; navapsvc; NOD32krn; NPFMntor; NSCService; Outpost
      Firewall main module; OutpostFirewall; PAVFIRES; PAVFNSVR; PavProt;
      PavPrSrv; PAVSRV; PcCtlCom; PersonalFirewal; PREVSRV; ProtoPort
      Firewall service; PSIMSVC; RapApp; SmcService; SNDSrvc; SPBBCSvc;
      SpIDer FS Monitor for Windows NT; SpIDer Guard File System Monitor;
      SPIDERNT; Symantec Core LC; Symantec Password Validation; Symantec
      AntiVirus Definition Watcher; SavRoam; Symantec AntiVirus; Tmntsrv;
      TmPfw; tmproxy; tcpsr; UmxAgent; UmxCfg; UmxLU; UmxPol; vsmon; VSSERV;
      WebrootDesktopFirewallDataService; WebrootFirewall; XCOMM

 Miscellaneous  Checks for an internet connection by contacting the following web sites:
   • www.klkjwre9fqwieluoi.info
   • kukutrustnet777888.info
   • klkjwre77638dfqwieuoi888.info
   • 89.119.67.154
   • kukutrustnet777.info
   • kukutrustnet888.info
   • kukutrustnet987.info


Mutex:
It creates the following Mutexes:
   • Ap1mutx7
   • uxJLpe1m

Description inserted by Razvan Olteanu on Thursday, September 30, 2010
Description updated by Andrei Ivanes on Wednesday, October 13, 2010

Back . . . .