Имя:W32/Sality.Y
Обнаружен:06/08/2008
Вид:Файловый вирус
В реальных условиях:Да
Отмеченные факты заражения:От низкого до среднего
Потенциал распространения:Средний
Потенциал повреждений:От среднего до высокого
Файл статистики:Нет
Версия IVDF:7.00.05.207
Версия ядра:8.01.01.018

 Общее Методы распространения:
   • Infects files (ru)
   • Локальная сеть
   • Подключенные сетевые диски


Псевдонимы (аliases):
   •  Symantec: W32.Sality.AE
   •  Mcafee: W32/Sality.gen
   •  Kaspersky: Virus.Win32.Sality.aa
   •  TrendMicro: PE_SALITY.JER
   •  F-Secure: Virus.Win32.Sality.aa
   •  Sophos: W32/Sality-AM
   •  Panda: W32/Sality.AK
   •  VirusBuster: Sality.AQ.Gen
   •  Bitdefender: Win32.Sality.OG


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Infects files (ru)
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создается файл:

%SYSDIR%\drivers\%случайные слова%.sys Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Agent.5509

 Инфицирование файлов Infector type: (ru)

Infector embedded (ru)


Self Modification (ru)

Infector polymorphic (ru)


Метод:

Данный резидентный вирус остаются активным в памяти.


Infection Length (ru)

Approximately (ru) 70.000 байт.


The following files are infected (P) (ru)

By file type (ru)
   • .EXE

Files in the following directories and all subs (ru)
   • %dirve%
   • \\\

 Реестр Удаляется значение следующего ключа реестра:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


Создание следующего элемента для "обхода" брандмауера Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
   • "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"



Добавляется следующий ключ реестра:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001



Изменяются следующие ключи реестра:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Прежнее значение:
   • "AntiVirusDisableNotify"=dword:00000000
   • "FirewallDisableNotify"=dword:00000000
   • "UpdatesDisableNotify"=dword:00000000
   • "AntiVirusOverride"=dword:00000000
   • "FirewallOverride"=dword:00000000
   Новое значение:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "Hidden"=dword:00000001
   Новое значение:
   • "Hidden"=dword:00000002

 Разное Мьютекс:
Создается мьютекс:
   • Op1mutx9

Описание добавил Razvan Olteanu в(о) понедельник, 22 марта 2010 г.
Описание обновил Razvan Olteanu в(о) вторник, 30 марта 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.