Nume:W32/Sality.Y
Descoperit pe data de:06/08/2008
Tip:File Infector
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Mediu
Potential de distrugere:Mediu spre ridicat
Fisier static:Nu
Versiune IVDF:7.00.05.207
Versiune motor de scanare:8.01.01.018

 General Metode de raspandire:
   • Infecteaza fisiere
   • Reteaua locala
   • Discuri de retea mapate


Alias:
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Infecteaza fisiere
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Este creat fisierul:

– %SYSDIR%\drivers\%cuvinte aleatoare%.sys Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Agent.5509

 Infectie de fisiere Tip de infector:

Embedded - Virusul isi insereaza codul malitios in unul sau mai multe locuri in interiorul fisierului infectat.


Evitarea detectiei:

Polimorfism - Intregul cod viral se schimba la fiecare infectie. Virusul contine un motor polimorfic.


Metoda:

Virusul ramane activ in memorie in timp ce infecteaza fisiere.


Dimensiunea codului malitios adaugat:

Aproximativ 70.000 Bytes


Urmatoarele fisiere sunt infectate:

Dupa tipul fisierelor:
   • .EXE

Fisierele continute in oricare din urmatoarele cai precum si din subdirectoarele lor:
   • %dirve%
   • \\%computer din reteaua locala%\%toate shareurile%

 Registrii sistemului Valoarea urmatoarei chei este stearsa din registri:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Creeaza urmatoarea valoare, pentru a trece de Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



Se adauga in registrii sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Urmatoarele chei din registri sunt modificate:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Vechea valoare:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   Noua valoare:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Vechea valoare:
   • "Hidden"=dword:00000001
   Noua valoare:
   • "Hidden"=dword:00000002

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • Op1mutx9

Descrizione inserita da Razvan Olteanu su lunedì 22 marzo 2010
Descrizione aggiornata da Razvan Olteanu su martedì 30 marzo 2010

Indietro . . . .