Virus.Sality.Win32.17

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Virus.Sality.Win32.17– файловый вирус, заражающий PE файлы, использует съемные накопители и сеть для своего распространения.

Методы распространения

распространяется через съёмные носители информации, сеть и зараженные исполняемые файлы.
Для распространения копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, ррасширение файла может быть ".exe", ".pif" , ".cmd" При заражении съемных носителей - дополнительно создает сопутствующий файл Autorun.inf, который позволит выполниться копии вируса, если на компьютере включен автозапуск.

Функциональные возможности

При запуске вирус:

Отключает диспетчер задач
Запрещает редактирование реестра
Отключает брандмауэр Windows:
Запрещает Internet Explorer работать в автономном режиме
Запрещает отображение скрытых папок и файлов
Отключает возможность запуска Windows в безопасном режиме
регистрирует и запускает свою службу, для блокировки доступа к сайтам антивирусных компаний.
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.

Технические особенности

Вирус является продолжением развития семейства Sality и наследует их общие черты.
При заражении вирус расширяет последнюю секцию PE файла и дописывает туда своё тело. Атрибуты последней секции изменяются таким образом, чтобы можно было читать, писать и исполнять. Вирус написан на С++ и сжат упаковщиком. размер вируса ~70 кб.

Деструктивные возможности

Пытается скрытно загрузить файлы из сети Internet и запустить их на выполнение, загруженные файлы имеют функциональность Trojan, Backdoor и RootKit. Целью вируса является внедрение на машину вредоносного ПО, которое обеспечит полный доступ к компьютеру и включение его в ботнет.