Имя:W32/Sality.AA
Обнаружен:21/11/2008
Вид:Файловый вирус
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Нет
Версия IVDF:7.00.00.101 - среда, 17 октября 2007 г.
Версия ядра:8.2.0.35

 Общее Методы распространения:
   • Локальная сеть
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Mcafee: W32/Sality.gen virus
   •  Kaspersky: Virus.Win32.Sality.aa
   •  F-Secure: Virus.Win32.Sality.aa
   •  Eset: Win32/Sality.NAU virus
   •  Bitdefender: Win32.Sality.OG


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Реестр Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusOverride"=dword:00000001
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001



Изменяются следующие ключи реестра:

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "Hidden"=dword:00000001
   Новое значение:
   • "Hidden"=dword:00000002

Отключение Windows XP Firewall:
– [HKLM\SOFTWARE\Microsoft\Security Center]
   Прежнее значение:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   • "UacDisableNotify"=dword:00000000
   Новое значение:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system]
   Прежнее значение:
   • "DisableTaskMgr"=dword:00000000
   • "DisableRegistryTools"=dword:00000000
   Новое значение:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

 Инфицирование файлов Метод:
Данный резидентный вирус остаются активным в памяти.


The following files are infected (P) (ru)
By file type (ru)
   • *.EXE

Описание добавил Viktor Graeber в(о) четверг, 6 августа 2009 г.
Описание обновил Andrei Gherman в(о) среда, 16 декабря 2009 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.