Virus.Sality.Win32.1
Virus.Sality.Win32.1– полиморфный файловый вирус, использует инфицированные файлы и сеть для своего распространения.
Методы распространения
Заражает файлы с ррасширением *.exe и *.scr на всех доступных дисках, и сетевых ресурсах. Первыми инфицируется файлы, указанные в ключах реестра отвечающих за автозапуск, в результате чего вирус будет автоматически активироваться при каждой перезагрузке системы.
Функциональные возможности
При запуске вирус:
- Отключает диспетчер задач
- Запрещает редактирование реестра
- Отключает брандмауэр Windows
- Запрещает Internet Explorer работать в автономном режиме
- Запрещает отображение скрытых папок и файлов
- Отключает User Account Control
- Удаляет ветви реестра:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
в результате чего отключается безопасный режим
- регистрирует и запускает свою службу, для блокировки доступа к сайтам антивирусных компаний
- Удаляет файлы антивирусных баз
- Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall
- Удаляет антивирусные программы и программы мониторинга
- Закрывает программы, в заголовках которых содержаться строки, указывающие на принадлежность к антивирусному программному обеспечению.
- Внедряет свой код в память всех активных процессов.
Технические особенности
При заражении вирус расширяет последнюю секцию PE файла и дописывает туда своё тело. Для последней секции устанавливаются атрибуты CODE EXECUTE, READ, WRITE. Вирус является полиморфным, поэтому в каждом файле код вируса выглядит по-разному.
Вирус модифицирует файл system.ini добавляя строки:
[MCIDRV_VER]
DEVICEMB=<случайное значение>
Деструктивные возможности
Пытается загрузить вредоносное ПО из сети Internet и запустить его на выполнение. Вирус содержит ошибки в коде и часто необратимо повреждает файлы при инфицировании.
Вирус собирает кэшированные пароли и информацию о пользователе и отсылает их злоумышленнику.
