Virus.Sality.Win32.4

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Virus.Sality.Win32.4– полиморфный файловый вирус, использует инфицированные файлы для своего распространения.

Методы распространения

Заражает файлы с ррасширением *.exe и *.scr на всех доступных дисках, и сетевых ресурсах. Первыми инфицируется файлы, находящиеся в корневом каталоге диска С:.

Функциональные возможности

При запуске вирус извлекает из своего тела и устанавливает в систему следующие файлы :

%Windows%\system32\drivers\<случайное имя>.sys
%Windows%\system32\wmdrtc32.dll
%Windows%\system32\wmdrtc32.dl_

После чего ррегистрирует и запускает свою службу, для блокировки доступа к сайтам антивирусных компаний . Служба ррегистрируется под именем NdisFileServices32, для этого вирус создает следующие ключи реестра:

[HKLM\System\CurrentControlSet\Services\NdisFileServices32]

    Type = dword:00000001
    Start = dword:00000002
    ErrorControl = dword:00000001
   ImagePath = "\??\%Windows%\system32\drivers\<случайное имя.sys> "
    DisplayName = "NdisFileServices32"

Вирус выполняет следующие действия:

Запрещает отображение скрытых папок и файлов
Отключает User Account Control
Удаляет ветви реестра:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
в результате чего отключается безопасный режим

Удаляет файлы антивирусных баз (AVC, VDB)
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall
Удаляет антивирусные программы и программы мониторинга
Закрывает программы, в заголовках которых содержаться строки, указывающие на принадлежность к антивирусному программному обеспечению.
В памяти создает уникальный идентификатор “_kuku_joker_v4.00”, который используется для предотвращения многократного запуска тела вируса.

Технические особенности

При заражении вирус расширяет последнюю секцию PE файла и дописывает туда своё тело. Для последней секции устанавливаются атрибуты CODE EXECUTE, READ, WRITE. Вирус является полиморфным, поэтому в каждом файле код вируса выглядит по-разному.

Вирус модифицирует файл system.ini добавляя строки:

[MCIDRV_VER]
DEVICEMB=<случайное значение>

Деструктивные возможности

Пытается загрузить вредоносное ПО из сети Internet и запустить его на выполнение. Вирус содержит ошибки в коде и часто необратимо повреждает файлы при инфицировании.