Nome del virus:W32/Sality.Y
Scoperto:06/08/2008
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio-Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Alto
File statico:No
Versione IVDF:7.00.05.207
Versione del motore:8.01.01.018

 Generale Metodi di propagazione:
   • Infects files (it)
   • Rete locale
   • Unità di rete mappata


Alias:
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Infects files (it)
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Viene creato il seguente file:

%SYSDIR%\drivers\%parole casuali%.sys Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Agent.5509

 File virale Infector type: (it)

Infector embedded (it)


Self Modification (it)

Infector polymorphic (it)


Metodo:

Questo virus rimane attivo nella memoria.


Infection Length (it)

Approximately (it) 70.000 Byte


The following files are infected (P) (it)

By file type (it)
   • .EXE

Files in the following directories and all subs (it)
   • %dirve%
   • \\\

 Registro Il valore della seguente chiave di registro viene rimosso:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Crea la seguente riga con lo scopo di bypassare il firewall di Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



Viene aggiunta la seguente chiave di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valore precedente:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   Nuovo valore:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=dword:00000001
   Nuovo valore:
   • "Hidden"=dword:00000002

 Varie Mutex:
Crea il seguente Mutex:
   • Op1mutx9

Descrizione inserita da Razvan Olteanu su lunedì 22 marzo 2010
Descrizione aggiornata da Razvan Olteanu su martedì 30 marzo 2010

Indietro . . . .