Sality er en familie av fil-infisere skadelig programvare som påvirker Windows-datamaskiner ved å spre infeksjoner gjennom EXE og SCR-filer.
Sality, som kanskje har startet opp i Russland opprinnelig, har utviklet seg mye gjennom årene, så ulike variasjoner av malware har forskjellige egenskaper. Imidlertid er de fleste Sality-varianter ormer ved at de bruker en eller annen form for autorunfunksjonalitet for å infisere kjørbare filer via flyttbare eller oppdagbare stasjoner.
Noen er selv Sality botnets som går med infiserte maskiner til sitt eget P2P-nettverk, slik at datamaskinene som helhet hjelper til med å stjele private data, sprekke passord, sende spam og mer.
Sality-viruset kan også inneholde en trojansk nedlasting som installerer ekstra malware via Internett, og en keylogger som overvåker og registrerer tastetrykk.
Merk: Noen antivirusprogrammer refererer til Sality-virusene med andre navn som SaILoad, SaliCode, Kookoo og Kukacka.
Hvordan det fungerer
Som nevnt ovenfor infiserer Sality malware kjørbare filer på den infiserte datamaskinen.
De fleste versjoner av skadelig programvare legger en spesiell DLL-fil på datamaskinen i %SYSTEM% mappe og kan kalle det "wmdrtc32.dll" eller, for den komprimerte versjonen, "wmdrtc32.dl_."
Imidlertid vil ikke alle varianter av Sality-viruset bruke en DLL-fil på denne måten. Noen laster koden direkte inn i minnet, og DLL-filen vil ikke bli funnet hvor som helst innenfor de faktiske diskfiler.
Andre kan til og med lagre en enhetsdriver i % SYSTEM% drivers mappe. Det som gjør dette vanskelig er at det kan lagres med et tilfeldig filnavn, så hvis antivirusprogramvaren bare leser filnavn for å sjekke om virus, og ikke filens innhold, er det en god sjanse for at den ikke vil fange Sality-viruset .
Oppdateringer til malware for Sality blir matet over HTTP via desentraliserte lister over nettadresser. Når infisert, må malware bare be om oppdateringer bak kulissene for å transformere og vokse på egen hånd, for å laste ned nye filer for å infisere andre datamaskiner.
Tegn på infeksjon
Det er viktig å være oppmerksom på symptomene på en Sality-virusinfeksjon - hva datamaskinen din kan gjøre eller hvordan den kan utføre når Sality-viruset er tilstede.
Som med mye annet skadelig programvare, kan Sality gjøre noe av følgende:
- Deaktiver antivirusprogramvare og hindre tilgang til bestemte antivirus- og sikkerhetsnettsteder.
- Forhindre oppstart i sikker modus.
- Fjern sikkerhetsrelaterte filer, prosesser og / eller tjenester.
- Lagre en CMD-, PIF- og / eller EXE-fil til roten av oppdagbare stasjoner, sammen med en autorun.inf-fil som inneholder instruksjoner for å laste de droppede filene når stasjonen er tilgjengelig.
- Send spam til dine e-postkontakter ved å få tilgang til e-postklientens adressebok.
- Slett filer som inneholder en bestemt filtillegg.
Slik sletter du
Den beste måten å hindre Sality virus infeksjon på er å holde datamaskinen oppdatert med de nyeste oppdateringene og sikkerhetsdefinisjonene. Bruk Windows Update og hold antivirusprogramvaren oppdatert for å bidra til å avhjelpe dette angrepet.
Hvis du allerede vet at du har Sality-viruset, kan du bli kvitt det på en lignende måte. Skann datamaskinen din for skadelig programvare med et oppdatert og kompetent antivirusprogram. Du kan ha flaks ved hjelp av en spyware remover for å fange Sality-viruset siden det fungerer som spionprogrammer også. Hvis de ikke virker eller du ikke har vanlig tilgang til Windows, må du bruke et oppstartbart antivirusprogram i stedet.
Noen antivirusleverandører inkluderer et spesielt verktøy som er ment spesielt for å håndtere Sality-viruset. For eksempel tilbyr AVG et populært gratis antivirusprogram, men de inkluderer også Sality Fix som du kan laste ned gratis for å fjerne Sality-viruset automatisk. Kaspersky lar deg bruke det gratis SalityKiller-verktøyet.
Hvis en fil er funnet å være infisert med Sality, la programvaren rengjøre filen. Hvis annen malware er funnet, prøv å slette viruset eller ta den anbefalte handlingen av skanneren.
Noen antivirusprogrammer kan kanskje ikke oppdage Sality-viruset. Hvis du mistenker at du har viruset, men sikkerhetsprogramvaren din ikke finner det, kan du prøve å laste den opp til VirusTotal for å gjøre en online-skanning med ulike skannemotorer.
Et annet alternativ er å slette virusfilene manuelt ved å søke på datamaskinen med et filsøkverktøy som Alt. Det er imidlertid en god sjanse for at filene er låst fra bruk og ikke kan fjernes på vanlig måte. Antivirusprogrammer kan vanligvis unngå dette ved å planlegge malware for sletting når datamaskinen slås av.
Hva å gjøre neste
Hvis du er sikker på at Sality-viruset er fjernet, bør du vurdere å deaktivere autorun for å forhindre en re-infeksjon via USB-stasjoner.
Det er også viktig å endre passordene til eventuelle elektroniske kontoer du brukte under infeksjonstidspunktet. Hvis Sality-viruset loggte tastetrykkene dine, så er det en god sjanse for at den registrerte bankinformasjonen din, sosiale medier-legitimasjon, e-postpassord, etc. Endre disse passordene ( etter at infeksjonen er borte ) og sjekke kontoene dine for tyveri er et viktig skritt.
Installer et kontinuerlig, alltid oppdatert, brukervennlig antivirusprogram slik at det er mindre sannsynlig at dette vil skje igjen. Kontroller at det kan sjekke flyttbare stasjoner for skadelig programvare og konfigurere planlagte skanninger for jevnlig å sjekke om skadelig programvare av alle typer, ikke bare for Sality-viruset.
