Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Sality.Y
La date de la découverte:06/08/2008
Type:Infecteur de fichier
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen à élevé
Fichier statique:Non
Version IVDF:7.00.05.207
Version du moteur de scan:8.01.01.018

 Général Méthodes de propagation:
   • Infects files (fr)
   • Le réseau local
   • Mapped network drives


Les alias:
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Plateformes / Systèmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Infects files (fr)
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Le fichier suivant est créé:

%SYSDIR%\drivers\%mots aléatoires%.sys Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: TR/Agent.5509

 Infecteur Infector type: (fr)

Infector embedded (fr)


Self Modification (fr)

Infector polymorphic (fr)


Méthode:

Ce virus reste actif dans la mémoire.


Infection Length (fr)

Approximately (fr) 70.000 Octets


The following files are infected (P) (fr)

By file type (fr)
   • .EXE

Files in the following directories and all subs (fr)
   • %dirve%
   • \\\

 Registre La valeur de la clé de registre suivante est supprimée:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Il crée l'entrée suivante afin de passer par le Firewall de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



La clé de registre suivante est ajoutée:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Les clés de registre suivantes sont changées:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   L'ancienne valeur:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   La nouvelle valeur:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=dword:00000001
   La nouvelle valeur:
   • "Hidden"=dword:00000002

 Informations divers Mutex:
Il crée le Mutex suivant:
   • Op1mutx9

Description insérée par Razvan Olteanu le lundi 22 mars 2010
Description mise à jour par Razvan Olteanu le mardi 30 mars 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.