¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Sality.L
Descubierto:29/06/2006
Tipo:Infector de ficheros
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Tamaño:77.824 Bytes
Suma de control MD5:0b59dde5aef0895efb89fd32c06eaf67
Versión del VDF:6.35.00.93
Versión del IVDF:6.35.00.108 - lunes, 3 de julio de 2006

 General Métodos de propagación:
   • Infecta archivos
   • Red local


Alias:
   •  Kaspersky: Email-Worm.Win32.VB.bf
   •  F-Secure: Email-Worm:W32/Rays.B
   •  Sophos: W32/Sality-AI
   •  Bitdefender: Trojan.Agent.VB.BFY
   •  AVG: Win32/Sality
   •  Grisoft: Win32/Sality
   •  Eset: Win32/Sality.NAE virus
   •  DrWeb: Win32.HLLW.Generic.98


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta ficheros dañinos
   • Infecta archivos

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\FONTS\%serie de caracteres aleatorios%.com



Modifica el siguiente archivo:
   • %WINDIR%\system.ini



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\olemdb32.dl_

%SYSDIR%\olemdb32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Sality.L

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "TempCom"="%WINDIR%\FONTS\%serie de caracteres aleatorios%.com"



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPath"="dword:0x00000000"
   Nuevo valor:
   • "FullPath"="dword:0x00000001"

Varias opciones de configuración en Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"="dword:0x00000001"
   • "HideFileExt"="dword:0x00000000"
   • "TaskbarGlomming"="dword:0x00000000"
   Nuevo valor:
   • "Hidden"="dword:0x00000000"
   • "HideFileExt"="dword:0x00000001"
   • "TaskbarGlomming"="dword:0x00000000"

 Infección de ficheros Tipo de infector:

Adicionador: el código principal de virus se ha añadido al final del archivo infectado.
– La siguiente sección se ha añadido al archivo infectado:–  1 secciones se han añadido al archivo infectado.
   • krdata

Incrustado: el virus inserta el código por todo el archivo (en una o varias ubicaciones).


Método:

Este infector busca ficheros para infectar.


El siguiente archivo se ha infectado:

Mediante tipo de archivo:
   • *.exe

Descripción insertada por Chiaho Heng el lunes, 11 de abril de 2011
Descripción actualizada por Chiaho Heng el miércoles, 13 de abril de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.