Tudo foi dito e redito para um vírus o remédio é um anti-vírus ou anti-spyware em tudo quanto são publicações de informática sobre este ou aquele tipo de vírus e não é bem disso que vamos tratar aqui.
Entenda mais o Vírus Sality.
CARACTERÍSTICAS
- Infecta todos os executáveis do sistema;
- Inicia um serviço e cria ou elimina registros relacionados às aplicações de segurança presentes no sistema;
- Desliga aplicativos anti-vírus;
- Permite que outras pessoas acessem o computador;
- Modifica dados no computador;
- Transferências de código a partir da Internet;
- Deleta arquivos de definição de vírus, utilizados pelos antivírus;
- Faz cópias de si mesmo em arquivos DLL;
- Age como um mini servidor Proxy, exclui ou encerra o processo de softwares relacionados a segurança.
- Inicia um serviço e cria ou elimina registros relacionados às aplicações de segurança presentes no sistema;
- Desliga aplicativos anti-vírus;
- Permite que outras pessoas acessem o computador;
- Modifica dados no computador;
- Transferências de código a partir da Internet;
- Deleta arquivos de definição de vírus, utilizados pelos antivírus;
- Faz cópias de si mesmo em arquivos DLL;
- Age como um mini servidor Proxy, exclui ou encerra o processo de softwares relacionados a segurança.
SISTEMAS OPERACIONAIS AFETADOS
- Plataformas: Windows 2000, Windows XP, Windows Server 2003.
MÉTODO DE PROPAGAÇÃO
- Arquivo infecção;
- Sality geralmente tem como alvo todos os arquivos na unidade C: que tem SCR ou extensões de arquivos EXE, começando com a pasta raiz. Os arquivos infectados aumentam em tamanho por uma quantidade variável.
- Sality geralmente tem como alvo todos os arquivos na unidade C: que tem SCR ou extensões de arquivos EXE, começando com a pasta raiz. Os arquivos infectados aumentam em tamanho por uma quantidade variável.
O vírus também tem como alvo aplicativos que são executados em cada início de Windows e as aplicações mais utilizadas, referenciadas pelas seguintes chaves de registro:
- HKCU \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
- HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
- HKCU \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
- HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Sality evita infectar arquivos particulares, a fim de permanecer escondido no computador:
- Arquivos protegidos pelo System File Checker (SFC);
- Arquivos na pasta %SystemRoot%;
- Executáveis de vários antivírus/firewall produtos por ignorar arquivos que contenham certas substrings;
- Unidades removíveis e compartilhamentos de rede.
- Arquivos protegidos pelo System File Checker (SFC);
- Arquivos na pasta %SystemRoot%;
- Executáveis de vários antivírus/firewall produtos por ignorar arquivos que contenham certas substrings;
- Unidades removíveis e compartilhamentos de rede.
Algumas variantes do Sality podem infectar arquivos legítimos, que são, em seguida, mudou-se para disponíveis drives removíveis e compartilhamentos de rede, enumerando todas as pastas de compartilhamento de rede e recursos do computador local e todos os arquivos na unidade C: (início com a pasta raiz). Ele infecta os arquivos que ele encontra por adição de uma seção de código novo para o acolhimento e inserção de seu código malicioso na seção recém-adicionado. Se existe um arquivo legítimo, o malware irá copiar o arquivo para o arquivos temporários da pasta e, em seguida, infectar o arquivo. O arquivo infectado resultante é então transferido para a raiz de todas as unidades removíveis disponíveis e compartilhamentos de rede como qualquer um dos seguintes:
- \ Arquivo name> <random. Pif
- \ Arquivo name> <random. Exe
- \ Arquivo name> <random. Cmd
A variante do Sality cria também um arquivo “autorun.inf” na raiz de todas essas unidades que aponta para a cópia de vírus. Quando uma unidade é acessada a partir de um computador apoiando o AutoRun recurso, o vírus é então iniciado automaticamente.
- \ Arquivo name> <random. Pif
- \ Arquivo name> <random. Exe
- \ Arquivo name> <random. Cmd
A variante do Sality cria também um arquivo “autorun.inf” na raiz de todas essas unidades que aponta para a cópia de vírus. Quando uma unidade é acessada a partir de um computador apoiando o AutoRun recurso, o vírus é então iniciado automaticamente.
0 comentários:
Postar um comentário