Virus.Sality.Win32.4

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Virus.Sality.Win32.4- поліморфний файловий вірус, який використає інфіковані файли для свого розповсюдження.

Методи розповсюдження

Інфікує файли з розширенням *.exe і *.scr на всіх доступних дисках, і мережевих ресурсах. Першими інфікується файли, що знаходяться у кореневому каталогу диска С:.

Функціональні можливості

При запуску вірус витягає зі свого тіла й встановлює в систему наступні файли :

% Windows%\system32\drivers\<випадкове ім'я>.sys
%Windows%\system32\wmdrtc32.dll
%Windows%\system32\wmdrtc32.dl_

Після чого рреєструє й запускає свою службу, яка використаэться для блокування доступу до сайтів антивірусних компаній . Служба рреєструється під ім'ям Ndisfileservices32, для цього вірус створює наступні ключі реєстру:

[HKLM\System\Currentcontrolset\Services\Ndisfileservices32]

    Type = dword:00000001
    Start = dword:00000002
    Errorcontrol = dword:00000001
    Imagepath = "\??\%Windows%\system32\drivers\<випадкове ім'я.sys> "
    Displayname = "Ndisfileservices32"

Вірус виконує наступні дії:

Забороняє відображення прихованих папок і файлів
Відключає User Account Control
Видаляє гілки реєстру:

[HKEY_LOCAL_MACHINE\System\Currentcontrolset\Control\Safeboot]
[HKEY_CURRENT_USER\System\Currentcontrolset\Control\Safeboot]
у результаті чого відключається безпечний режим завантаження

Видаляє файли антивірусних баз (AVC, VDB)
Зупиняє служби й вивантажує з пам'яті процеси, що відносяться до антивірусних програм і Firewall
Видаляє антивірусні програми й програми моніторингу
Закриває програми, у заголовках яких міститися рядки, що вказують на приналежність до антивірусного програмного забезпечення.
У пам'яті створює унікальний ідентифікатор “_kuku_joker_v4.00”, який використається для запобігання багаторазового запуску тіла вірусу.

Технічні особливості

При інфікуванні файлів вірус розширює останню секцію PE файлу й дописує туди своє тіло. Для останньої секції встановлюються атрибути CODE, EXECUTE, READ, WRITE. Вірус є поліморфним, тому в кожнім файлі код вірусу виглядає по-різному.

Вірус модифікує файл system.ini додаючи рядки:

[MCIDRV_VER]
DEVICEMB=<випадкове значення>

Деструктивні можливості

Намагається завантажити шкідливе ПО з мережі Internet і запустити його на виконання. Вірус містить помилки в коді й часто незворотно ушкоджує файли при інфікуванні.