Laboratoire antivirus Avira

W32/Sality.L

  • Nom
    W32/Sality.L
  • La date de la découverte
    8 oct. 2015
  • Type
    Malware
  • Impact
    Élevé 
  • Infections signalées
    Faible 
  • Système d'exploitation
    Windows
  • Version VDF
    6.35.00.108 (2006-06-29 11:57)

Le terme « W32 » désigne un virus qui fonctionne sur les systèmes d'exploitation Windows 32 bits et infecte des fichiers.

  • VDF
    6.35.00.108 (2006-06-29 11:57)
  • Alias
    Avast: Win32:Sality-AB
    AVG: Win32/Sality
    ClamAV: W32.Sality.N
    Dr. Web: Win32.Sector.20480
    F-PROT: W32/Sality.K (exact)
    Trend Micro: PE_SALITY.AE
    Microsoft: Virus:Win32/Sality.G
    G Data: Win32.Sality.E
    Kaspersky Lab: Virus.Win32.Sality.l
    Bitdefender: Win32.Sality.E
    ESET: Win32/Sality.NAE virus
  • Fichiers
    Les fichiers suivants sont supprimés:
    • %SYSDIR%\wmimgr32.dl_
    • %DISKDRIVE%\KUKU300a
    Les fichiers suivants sont créés:
    • %SYSDIR%\wmimgr32.dl_
    • %SYSDIR%\wmimgr32.dll
    • %USERPROFILE%\Local Settings\Application Data\Microsoft\Media Player\wmdbexport.xml
    • %DISKDRIVE%\KUKU300a
    Les fichiers suivants sont modifiés:
    • %USERPROFILE%\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb
    • %WINDIR%\system.ini
    • %PROGRAM FILES%\Common Files\Java\Java Update\jusched.exe
    • %DISKDRIVE%\67edd601553864307ce739a3c57414fe\DeleteTemp.exe
    • %DISKDRIVE%\67edd601553864307ce739a3c57414fe\DW20.EXE
    • %DISKDRIVE%\67edd601553864307ce739a3c57414fe\setup.exe
  • Injections
    • %SYSDIR%\cmd.exe
    • %SYSDIR%\ipconfig.exe
    • %DISKDRIVE%\hips\loader.exe
    • %WINDIR%\System32\svchost.exe
    • %FILE_PATH%
    • {<-%SYSDIR%\wmimgr32.dll}
    • \SystemRoot\System32\smss.exe{<-%SYSDIR%\wmimgr32.dll}
    • \??\%SYSDIR%\csrss.exe{<-%SYSDIR%\wmimgr32.dll}
    • \??\%SYSDIR%\winlogon.exe{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\services.exe{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\lsass.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\VMware\VMware Tools\vmacthlp.exe{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\svchost.exe{<-%SYSDIR%\wmimgr32.dll}
    • %WINDIR%\System32\svchost.exe{<-%SYSDIR%\wmimgr32.dll}
    • %WINDIR%\Explorer.EXE{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\spoolsv.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server Interface.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\VMware\VMware Tools\VMwareTray.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\VMware\VMware Tools\vmtoolsd.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\FileZilla Server\FileZilla Server.exe{<-%SYSDIR%\wmimgr32.dll}
    • %WINDIR%\System32\alg.exe{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\wscntfy.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\Java\jre7\bin\jqs.exe{<-%SYSDIR%\wmimgr32.dll}
    • %DISKDRIVE%\totalcmd\TOTALCMD.EXE{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\wbem\wmiprvse.exe{<-%SYSDIR%\wmimgr32.dll}
    • %PROGRAM FILES%\WinPcap\rpcapd.exe{<-%SYSDIR%\wmimgr32.dll}
    • %DISKDRIVE%\hips\vhsnz.exe{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\cmd.exe{<-%SYSDIR%\wmimgr32.dll}
    • %SYSDIR%\ipconfig.exe{<-%SYSDIR%\wmimgr32.dll}
    • %DISKDRIVE%\hips\loader.exe{<-%SYSDIR%\wmimgr32.dll}
    • %FILE_PATH%{<-%SYSDIR%\wmimgr32.dll}
  • Registre
    Les entrées de registre suivantes sont modifiées:
    • HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences ("LegacyContentProviderName": ""; "MigrationSchema": "{97D9A710-B59F-43E5-86AC-26C21F8B12D3}"; "MigrationPercentage": dword:00000064; "MigratedXML": dword:00000000)

Aidez-nous à rendre le Web plus sûr en nous envoyant les fichiers/URL suspect(e)s pour analyse.

Envoyer votre fichier/URL ou Aller à Avira Answers

Pourquoi nous envoyer un fichier suspect ?

Si vous avez trouvé un fichier ou un site Internet suspect qui ne figure pas dans notre base de données, nous l'analyserons pour déterminer s'il est nuisible. Les résultats de nos recherches seront partagés avec nos millions d'utilisateurs lors de la prochaine mise à jour de la base de données de virus. Si vous utilisez Avira, vous obtiendrez également cette mise à jour. Vous n'avez pas Avira ? Téléchargez-le sur notre page d'accueil.

Qu'est-ce qu'Avira Answers ?

Il s'agit de notre communauté grandissante d'experts techniques et de spécialistes à temps partiel qui s'entraident pour résoudre les problèmes techniques. C'est l'endroit idéal pour poser vos questions aux autres utilisateurs de la communauté Avira.