Virus.Sality.Win32.1
Virus.Sality.Win32.1-поліморфний файловий вірус, використовує інфіковані файли та мережу для свого поширення.
Методи поширення
Інфікує файли з розширенням *. exe і *. scr на всіх доступних дисках, і мережевих ресурсах. Першими інфікується файли, зазначені в ключах реєстру що відповідають за автозапуск, в результаті чого вірус буде автоматично активуватися при кожному перезавантаженні системи.
Функціональні можливості
При запуску вірус:
- Відключає диспетчер завдань
- Забороняє редагування реєстру
- Відключає брандмауер Windows
- Забороняє програмі Internet Explorer працювати в автономному режимі
- Забороняє відображення прихованих папок і файлів
- Відключає User Account Control
- Видаляє гілки реєстру:
[HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SafeBoot]
[HKEY_CURRENT_USER \ System \ CurrentControlSet \ Control \ SafeBoot]
В результаі чого перестає працювати Безпечний режим завантаження - реєструє і запускає свою службу, для блокування доступу до сайтів антивірусних компаній
- Видаляє файли антивірусних баз
- Зупиняє служби та вивантажує з пам'яті процеси, пов'язані з антивірусним програмам і Firewall
- Видаляє антивірусні програми і програми моніторингу
- Закриває програми, в заголовках яких міститися рядки, що вказують на їх приналежність до антивірусному програмному забезпеченню.
- Впроваджує свій код в пам'ять всіх активних процесів
Технічні особливості
При інфікуванні вірус розширює останню секцію PE файлу і дописує туди своє тіло. Для останньої секції встановлюються атрибути CODE EXECUTE, READ, WRITE. Вірус є поліморфним, тому в кожному файлі код вірусу виглядає по-різному.
Вірус модифікує файл system.ini додаючи рядки:
[MCIDRV_VER]
DEVICEMB = <випадкове значення>
Деструктивні можливості
Намагається завантажити шкідливе ПЗ з мережі Internet і запустити його на виконання. Вірус містить помилки в коді і часто незворотньо пошкоджує файли при інфікуванні.
Вірус збирає кешовані паролі та інформацію про користувача і відсилає їх зловмисникові.
