Virus.Sality.Win32.17

Virus.Sality.Win32.17 - файловий вірус, що інфікує PE файли, та використовує знімні накопичувачі та мережу для свого поширення.

Методи поширення

Поширюється через змінні носії інформації, мережу і інфіковані виконувані файли.

Для поширення - копіює своє тіло з випадковим ім'ям на всі доступні на запис мережеві, логічні і знімні диски, розширення файлу може бути ". Exe", ". Pif", ". Cmd" При інфікуванні знімних носіїв - додатково створює супутній файл Autorun.inf , який дозволить виконатися копії вірусу, якщо на комп'ютері включений автозапуск.

Функціональні можливості

При запуску вірус:

• Вимикає диспетчер завдань

• Забороняє редагування реєстру

• Вимикає брандмауер Windows:

• Забороняє програмі Internet Explorer працювати в автономному режимі

• Забороняє відображення прихованих папок і файлів

• Вимикає можливість запуску Windows в безпечному режимі

• реєструє і запускає свою службу, щоб блокувати доступ до сайтів антивірусних компаній.

• Зупиняє служби та вивантажує з пам'яті процеси, пов'язані з антивірусним програмам і Firewall.

Технічні особливості

Вірус є продовженням розвитку сімейства Sality і успадковує їх загальні риси.

При інфікуванні вірус розширює останню секцію PE файлу і дописує туди своє тіло. Атрибути останньої секції змінюються таким чином, щоб можна було читати, писати і виконувати. Вірус написаний на С + + і стиснутий пакувальником. розмір вірусу ~ 70 кб.

Деструктивні можливості

Намагається приховано завантажити файли з мережі Internet і запустити їх на виконання, завантажені файли мають функціональність Trojan, Backdoor і RootKit. Метою вірусу є впровадження на машину шкідливого ПЗ, яке забезпечить повний доступ до комп'ютера і включення його в ботнет.