Virus.Sality.Win32.20

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Virus.Sality.Win32.20– поліморфний файловий вірус, що ррозповсюджується через знімні носії інформації, мережу, та файли що виконуються .

Методи розповсюдження

Заражає файли з розширенням *.exe і *.scr на всіх доступних дисках і мережних ресурсах. Першими інфікується файли, що перебувають у кореневому каталозі диска С:.
розповсюджується через знімні носії інформації. Для цього вірус копіює своє тіло з випадковим ім'ям на всі доступні для запису знімні диски. озширення файлу може бути ".exe", ".pif", ".cmd". Додатково вірус створює супутній файл Autorun.inf, який дозволить виконатися копії вірусу, якщо на комп'ютері включений автозапуск.

Функціональні можливості

При запуску вірус витягає зі свого тіла й встановлює в систему драйвер що блокує доступ до сайтів антивірусних компаній:

% Windows%\system32\drivers\<випадкове ім'я>.sys

Також вірус кілька разів копіює своє тіло в папки %Windows%\system\ і %Windows%\system32\ під різними іменами. Як правило, імена файлів копіюють назви системних процесів.

Після чого рреєструє й запускає свою службу, що застосовується для блокування доступу до сайтів антивірусних компаній. Служба рреєструється під випадковим ім'ям, для цього вірус створює наступні ключі реєстру:

[HKLM\System\Currentcontrolset\Services\<Ім'я служби>]

    Type = dword:00000001
    Start = dword:00000002
    Errorcontrol = dword:00000001
   Imagepath = "\??\% Windows%\system32\drivers\<випадкове ім'я.sys> "
    Displayname = "<Ім'я служби>"

Для автоматичного запуску вірус створює ключ автозапуску, який вказує на одну з копій вірусу, що знаходяться у папках %Windows%\system\ і %Windows%\system32\.
Ключ реєстру може виглядати таким чином:

[HKLM\Software\Microsoft\Windows\Currentversion\policies\Explorer\Run]
System = "%Windows%\system\scrss.exe"

Вірус виконує наступні дії:

Забороняє відображення прихованих папок і файлів
Відключає User Account Control
Відключає диспетчер завдань
Забороняє редагування реєстру
Відключає брандмауер Windows.
Забороняє браузеру Internet Explorer працювати в автономному режимі
Видаляє гілки реєстру:

[HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot]
[HKEY_CURRENT_USER\System\Currentcontrolset\Control\Safeboot]
у результаті чого відключається можливість завантаження в безпечному режимі

Видаляє файли антивірусних баз (AVC, VDB)
Зупиняє служби й вивантажує з пам'яті процеси, що відносяться до антивірусних програм і Firewall.
Видаляє антивірусні програми й програми моніторингу
Закриває програми, у заголовках яких містяться рядки, що вказують на приналежність до антивірусного програмного забезпечення.
Створює в пам'яті унікальний ідентифікатор, який використовується для запобігання багаторазового запуску вірусу.

Технічні особливості

При зараженні вірус розширює останню секцію PE файлу й дописує туди своє тіло. Для останньої секції встановлюються атрибути CODE, EXECUTE, READ, WRITE.

Вірус не заражає файли ррозміром більше 20Мбайт і менше 4 Кбайт. Заражаються тільки файли, які містять в Pe-заголовку секції:

TEXT
UPX
CODE

Вірус є поліморфним, тому в кожнім файлі код вірусу виглядає по-різному.
Вірус модифікує файл system.ini додаючи рядки:

[MCIDRV_VER]
DEVICEMB=<випадкове значення>

Деструктивні можливості

Намагається завантажити шкідливе ПО з мережі Internet і запустити його на виконання. У результаті чого в системі, крім самого вірусу, виявляється безліч інших шкідливих програм, таких як троянськи програми, Backdoor і т.п. Вірус містить помилки в коді й часто незворотно ушкоджує файли при інфікуванні.