Меню

Укр Рус

Семейство вирусов Virus.Sality.Win32

Виды вредоносных программ:
Семейство вирусов Virus.Sality.Win32

Virus.Sality.Win32 - семейство полиморфных файловых вирусов, которые используют инфицированные файлы и сеть для своего распространения.

Методы распространения 

Вирусы этого семейства заражают исполняемые файлы с расширением *.exe и *.scr на всех доступных дисках, и сетевых ресурсах. Первыми инфицируется файлы, указанные в ключах реестра отвечающих за автозапуск, в результате чего вирус будет автоматически активироваться при каждой перезагрузке системы.

Функциональные возможности

Семейство вирусов насчитывает более 50 модификаций. Общим для них является полиморфизм и быстрое заражение файлов на компьютере. При заражении компьютера вирусом из семейства Sality часто оказываются зараженными несколько сотен или даже тысяч файлов.

Основные возможности вируса семейства Sality :

  • Отключает диспетчер задач
  • Запрещает редактирование реестра
  • Отключает брандмауэр Windows
  • Запрещает Internet Explorer работать в автономном режиме
  • Запрещает отображение скрытых папок и файлов
  • Отключает User Account Control
  • Отключает загрузку компьютера в защищенном режиме
  • Регистрирует и запускает свою службу, для блокировки доступа к сайтам антивирусных компаний
  • Удаляет файлы антивирусных баз
  • Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall
  • Удаляет антивирусные программы и программы мониторинга
  • Закрывает программы, в заголовках которых содержаться строки, указывающие на принадлежность к антивирусному программному обеспечению.
  • Внедряет свой код в память всех активных процессов.
Технические особенности

Большая часть вирусов семейства Sality инфицирует PE  (EXE) файлы,  для этого вирус расширяет последнюю секцию PE файла и дописывает туда своё тело. Для  последней секции устанавливаются атрибуты CODE  EXECUTE,  READ,  WRITE.
Существуют также модификации вируса создающие дополнительные секции в PE файле, в которые они помещают своё тело.
Вирусы Sality являются полиморфным, поэтому в каждом файле код вируса выглядит по-разному. Отличительной чертой является сложный полиморфный алгоритм, которым вирусы этого семейства криптуют свое тело. Тело вируса может быть последовательно закриптованно несколькими разными полиморфными алгоритмами, с разными ключами криптования.
Вирусы этого семейства содержат ошибки в своем коде и часто необратимо повреждают файлы при инфицировании. 

© 2009 - 2024 Zillya! Антивірус. Все права защищены. Использование материалов сайта без ссылки на первоисточник запрещено
Политика конфиденциальности
Публичный договор-оферта
i
О компании
Киберграмотность
Курсы инфобезопасности Публикации Вирусная энциклопедия
Служба поддержки
+38 (044) 334 4020