VírusW32/Sality.Y
Data em que surgiu:06/08/2008
Tipo:File infector
Incluído na lista "In The Wild"Sim
Nível de danos:De baixo a médio
Nível de distribuição:Médio
Nível de risco:De médio a elevado
Ficheiro estático:Não
Versão IVDF:7.00.05.207
Versão do motor antivírus:8.01.01.018

 Vulgarmente Meios de transmissão:
   • Infects files (pt)
   • Rede local
   • Unidade de rede


Alias:
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Infects files (pt)
   • Baixa as definições de segurança
   • Altera o registo do Windows

 Ficheiros É criado o seguinte ficheiro:

%SYSDIR%\drivers\%palavras aleatórias%.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.5509

 Infecção de ficheiros Infector type: (pt)

Infector embedded (pt)


Self Modification (pt)

Infector polymorphic (pt)


Forma:

Contém uma ligação para outro malware.


Infection Length (pt)

Approximately (pt) 70.000 Bytes


The following files are infected (P) (pt)

By file type (pt)
   • .EXE

Files in the following directories and all subs (pt)
   • %dirve%
   • \\\

 Registry (Registo do Windows) O valor da seguinte chave Registo é eliminado:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



É adicionada a seguinte chave de registo:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   Valor recente:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=dword:00000001
   Valor recente:
   • "Hidden"=dword:00000002

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • Op1mutx9

Descrição enviada por Razvan Olteanu em segunda-feira, 22 de março de 2010
Descrição atualizada por Razvan Olteanu em terça-feira, 30 de março de 2010

Voltar . . . .