Post by 564z on Jul 25, 2014 19:08:10 GMT
W32.Sality polimorfik bulaşıcı bir zararlıdır. Yerel, çıkarılabilir ve uzaktan paylaşılan sürücüler üzerinde çalıştırılabilir dosyaları enfekte eder. Bu zararlı ayrıca peer-to-peer (P2P) botnet oluşturur ve ek dosyaları indirmek için URL'ler alır. Kötü amaçlı Web sitelerine bağlanmak için çalışır. Daha sonra güvenlik yazılımlarını devreden çıkarmayı dener. Bellekte bulunan ve bulduğu tüm taşınabilir yürütülebilir dosyaları bozar.
Zararlının ilk sürümü 2003 yılında ortaya çıktı ve Rusya kökenli olabilir. Yaptığı ilk şey, DLL ve Internet trafiğini filtrelemek için bir sürücü yüklemektir. Aşağıdaki dosyaları oluşturur.
% System% \ wmdrtc32.dll (W32.HLLP.Sality bir kopyası.)
% System% \ wmdrtc32.dl_ (W32.HLLP.Sality bir arşivlenen kopyasını.)
Virüs daha sonra aşağıdaki satırlardaki dosyaları ekler.
% Windir% \ System.ini:
[MCIDRV_VER]
DEVICEN1 = [RANDOM_NUMBER]
Zararlının Sality.aa, Sality.ae, Sality.ag ve bunlar gibi varyantları bulunur.
Belirtileri:
* Görev Yöneticisi devre dışı bırakılır - Görev Yöneticisi, Ctrl + Alt + Del tuşuna basıldığında çalışmıyor .
* Kayıt Defteri Düzenleyicisi (REGEDIT) de çalışmıyor .
* Klasör Seçenekleri araçları gizli ya da çalışmıyor - Klasör Seçenekleri araçları bölümüne erişim yok.
* EXE dosyaları bozuk.
* Çalışma Programları ve Uygulamalarından bazı programlar ve uygulamalar artık çalışmıyor olabilir.
* Tüm başlangıç programları da çalışmıyor. Buna güvenlik yazılımları da dahildir.
* Sistem iyice ağırlaşır, performans düşer, sistemde bir sorun olduğu net olarak kendisini gösterir.
* Win32/Sality.AU çalıştırılabilir dosyaları enfekte eden bir virüstür. Aynı zamanda çıkarılabilir USB Belleklere ve harici disklere kendisini kolayca yayar.
* Sistem Geri Yükleme özelliğini devre dışı bırakır.
Sistem değişiklikleri:
Aşağıdaki sistem değişiklikleri bu zararlı yazılımın varlığını gösterebilir:
Aşağıdaki kayıt defteri anahtarının varlığı:
Aşağıdaki dosya varlığı olarak tespit edilebilir,
Truva: WinNT / Sality :
Aşağıdaki dosya bulunması:
Değişik antivirüs yazılımları, bu zararlıyı değişik isimlerde tesbit edebilir. Bunun nedeni, yazılımın kendisini, sistemin her açılışında isim olarak değiştirebilme ve kopyalayabilme özelliğindendir. Bunun yanında, her güvenlik yazılımı firması, tesbit etmiş olduğu zararlı yazılıma, zararlının genel adının yanısıra kendi ek'ini de ekleyebilmektedir.
Örnek:
Norton Symantec firması aşağıdaki adlarda gösterebilmektedir.
Örnek:
Ayrıca sality zararlısının değişik türevleri olabilmektedir.
Örnek:
Zararlı: Win32/Sality.AU kendisini yüklemek ve çalıştırmak için, çalışan tüm süreçlerin içine kod enjekte eder. Aşağıdaki uzantılara sahip Windows çalıştırılabilir dosyaları bozar .
Zararlı, aşağıdaki kayıt defteri alt anahtarlarını bulunan dosya isimleri okuyarak diğer hedef dosyalarını arar :
Zararlı: Win32/Sality.AU Windows Sistem Dosyası Denetleyicisi (SFC) veya dosya adı aşağıdaki dizeler ile başlayan korunan dosyaları enfekte etmez:
Çıkarılabilir ve uzak sürücüler:
Zararlı: Win32/Sality.AU aşağıdaki adlar altında, tüm uzak ve çıkarılabilir sürücülere virüslü dosyayı kopyalar:
Daha sonra Autorun konfigürasyonlu virüslü dosya, kendisini "autorun.inf" içerisine yazar. Autorun özelliği destekleyen bir bilgisayarın sürücüsüne eriştiğinde de, virüs otomatik olarak başlatılır.
Uzaktaki bir sunucuya bağlanır:
Zararlı:Win32/Sality.AU aşağıdaki web sitesine bağlanan bir uzak sunucuya bağlanır:
Diğer kötü amaçlı yazılım ismi:
Zararlı: Win32/Sality.AU aşağıdaki sürücü dosya adları ile kendisini gösterir:
% SystemRoot% \ system32 \ drivers \ abp470n5.sys
% SystemRoot% \ system32 \ drivers \ amsint32.sys
% SystemRoot% \ system32 \ drivers \asc3360pr.sys olarak tespit edilir.
Windows'u güvenli modda, önyüklemeli çalışmasını engeller:
Win32/Sality.AU zararlısı, sürekli olarak aşağıdaki satırları tarayıp silerek, kullanıcının Windows'u güvenli modda başlatmasının önüne geçmektedir.
Aktif güvenlik yazılımlarını devredışı bırakıyor:
Win32 /Sality.AU, sistem servisleri açıklama tablosuna(SSDT=system service descriptor table) NT kernel("ntoskrnl.exe") üzerinden erişerek, orijinal SSDTyi kendi oluşturduğu infekte olmuş tampon sürücü(Trojan:WinNT/Sality) ile değiştiriyor.
SSDTye ulaşmaya çalışan yazılımlar, zararlı sürücüye yönlendiriliyor. Bu metod SSDT bağlantısı kullanan bazı HIPS yazılımlarını ve aktif tabanlı AV yazılımların çalışmasını engelliyor.
Güvenlikle ile ilgili dosyaları siliyor:
Bu zararlı, AV yazılımlarının kullandığı (aşağıdaki uzantılara sahip) veritabanlarını ve zararlı imzalarını siliyor;
.AVC
.VDB
Güvenlikle ilgili hizmetleri sonlandırır:
Win32/Sality.AU aşağıdaki güvenlik ile ilgili hizmetleri durdurur ve silmek için çalışır:
Ayrıca, zararlı: Win32/Sality.AU aşağıdaki yüklü modül süreçleri ile sistemde değişiklikler yapmaya çalışır:
Windows ayarlarını değiştirir:
Zararlı: Win32/Sality.AU Windows Kayıt Defteri Düzenleyicisini devre dışı bırakmak için kayıt defterini değiştirir :
Değeri ekler: "DisableRegistryTools"
Ile veriler: "1"
Alt anahtarında: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ system
Bu virüs aynı zamanda gizli özelliklere sahip dosyaların incelenmesini önlemek için kayıt defterini değiştirir:
Değeri ekler: "Gizli"
Veri ile: "2"
Alt anahtarında: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
Güvenlik yazılımlarını devredışı bırakır:
Zararlı: Win32/Sality.AU Windows güvenlik duvarını aşmak için kayıt defterini değiştirir:
Değeri ekler: "<malware dosya adı>: *: Etkin: IPSec"
Veri: "<malware dosya adı>"
Içinde Virüs bulaşmış bilgisayarın güvenliği düşük diğer kayıt defteri verilerini değiştirir. Windows Güvenlik Merkezi, Windows
Güvenlik Duvarı ayarlarını değiştirmek için aşağıdaki kayıt defteri verilerini değiştirir:
Keyfi dosyalar yaratır:
Zararlı: Win32/Sality.AU girişimleri sonucunda, yerel sürücü, uzak sunuculardan dosya indirmek için indirilen dosyaların şifresini çözer ve çalıştırır. Zararlının aşağıdaki sunuculara bağlanmaya çalıştığı gözlemlenmiştir:
Daha sonra% Windir% \ system.ini dosyası için aşağıdaki girişi ekler:
[MCIDRV_VER]
Tehdit sonra diğer potansiyel zararlı dosyaları bilgisayarınıza indirmek için talimat verebilir ve aşağıdaki URL'ler kontrol eder:
[Http://] hotelkalingaindore.com / logosu [KALDIRILACAKTIR]
[Http://] lasercareindia.com / main [KALDIRILACAKTIR]
Daha sonra aşağıdaki kayıt defteri girdilerini oluşturur:
Aşağıdaki kayıt defteri alt anahtarlarının altında tüm kayıt defteri girdilerini siler:
Bilgisayarınıza virüs bulaşmasını engellemek için aşağıdaki adımları uygulayın:
ÖNEMLİ:
Zararlının sistemden temizlenmesi ile ilgili teknik ayrıntılar, ''stajyer eğitimi'' bölümümüzde bulunmaktadır.
Sality zararlısı sorunu ile karşılaştığınızda uzman ekibimizden yardım alabilirsiniz.
Kaynaklar:
www.naked-security.com/malware/W32.Sality.AM/
www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=virus:win32/sality.au
+ diğerleri.
Zararlının ilk sürümü 2003 yılında ortaya çıktı ve Rusya kökenli olabilir. Yaptığı ilk şey, DLL ve Internet trafiğini filtrelemek için bir sürücü yüklemektir. Aşağıdaki dosyaları oluşturur.
% System% \ wmdrtc32.dll (W32.HLLP.Sality bir kopyası.)
% System% \ wmdrtc32.dl_ (W32.HLLP.Sality bir arşivlenen kopyasını.)
Virüs daha sonra aşağıdaki satırlardaki dosyaları ekler.
% Windir% \ System.ini:
[MCIDRV_VER]
DEVICEN1 = [RANDOM_NUMBER]
Zararlının Sality.aa, Sality.ae, Sality.ag ve bunlar gibi varyantları bulunur.
Belirtileri:
* Görev Yöneticisi devre dışı bırakılır - Görev Yöneticisi, Ctrl + Alt + Del tuşuna basıldığında çalışmıyor .
* Kayıt Defteri Düzenleyicisi (REGEDIT) de çalışmıyor .
* Klasör Seçenekleri araçları gizli ya da çalışmıyor - Klasör Seçenekleri araçları bölümüne erişim yok.
* EXE dosyaları bozuk.
* Çalışma Programları ve Uygulamalarından bazı programlar ve uygulamalar artık çalışmıyor olabilir.
* Tüm başlangıç programları da çalışmıyor. Buna güvenlik yazılımları da dahildir.
* Sistem iyice ağırlaşır, performans düşer, sistemde bir sorun olduğu net olarak kendisini gösterir.
* Win32/Sality.AU çalıştırılabilir dosyaları enfekte eden bir virüstür. Aynı zamanda çıkarılabilir USB Belleklere ve harici disklere kendisini kolayca yayar.
* Sistem Geri Yükleme özelliğini devre dışı bırakır.
Sistem değişiklikleri:
Aşağıdaki sistem değişiklikleri bu zararlı yazılımın varlığını gösterebilir:
Aşağıdaki kayıt defteri anahtarının varlığı:
HKLM \ SOFTWARE \ bntrp
Aşağıdaki dosya varlığı olarak tespit edilebilir,
Truva: WinNT / Sality :
% SystemRoot% \ system32 \ drivers \ amsint32.sys
% SystemRoot% \ system32 \ drivers \ abp470n5.sys
% SystemRoot% \ system32 \ drivers \ asc3360pr.sys
Aşağıdaki dosya bulunması:
% Temp% \ 2ff07.exe
Değişik antivirüs yazılımları, bu zararlıyı değişik isimlerde tesbit edebilir. Bunun nedeni, yazılımın kendisini, sistemin her açılışında isim olarak değiştirebilme ve kopyalayabilme özelliğindendir. Bunun yanında, her güvenlik yazılımı firması, tesbit etmiş olduğu zararlı yazılıma, zararlının genel adının yanısıra kendi ek'ini de ekleyebilmektedir.
Örnek:
Virus.Win32.Sality.ag (Kaspersky)
W32/Sality.BD (Norman)
Win32.Sality.BK (VirusBuster)
W32/Sality.AG (Avira)
Win32.Sality.3 (BitDefender)
Win32/Sality.NBA (ESET)
Virus.Win32.Sality (Ikarus)
W32/Sality.AA (Panda)
Mal / Sality-D (Sophos)
Virus.Win32.Sality.at (Sunbelt Software)
W32.Sality.AE (Symantec)
PE_SALITY.BA-O (Trend Micro)
Norton Symantec firması aşağıdaki adlarda gösterebilmektedir.
Örnek:
W32.Sality
W32.HLLP.Sality.O
W32.HLLP.Sality.Q
W32.Sality.R
W32.Sality.S
W32.Sality.U
W32.Sality.V
W32.Sality.X
W32.Sality.Y
W32.Sality.AB
W32.Sality.AE
W32.Sality.AM
W32.Sality.V!inf
W32.Sality.Y!inf
Ayrıca sality zararlısının değişik türevleri olabilmektedir.
Örnek:
W32/Sality-AQ
Virus.Win32.Sality.ad
W32/Sality.Z
W32/Sality.p virüs
PE_SALITY.AG
Virüs: Win32/Sality.H
W32.Sality.Y! Inf
Virus.Win32.Sality.q
W32/Sality.x
Win32/Sality.NAJ
W32.Sality.U
PE_SALITY.AS
Zararlı: Win32/Sality.AU kendisini yüklemek ve çalıştırmak için, çalışan tüm süreçlerin içine kod enjekte eder. Aşağıdaki uzantılara sahip Windows çalıştırılabilir dosyaları bozar .
- .Exe
- .Scr
Zararlı, aşağıdaki kayıt defteri alt anahtarlarını bulunan dosya isimleri okuyarak diğer hedef dosyalarını arar :
- HKCU \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
- HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Zararlı: Win32/Sality.AU Windows Sistem Dosyası Denetleyicisi (SFC) veya dosya adı aşağıdaki dizeler ile başlayan korunan dosyaları enfekte etmez:
A2CMD.
A2FREE
A2GUARD
A2SERVICE.
ADVCHK.
AGB.
AHPROCMONSERVER.
AirDefense
AKRNL.
ALERTSVC
AMON.
ANTIVIR
APVXDWIN.
Armor2net.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWSCAN
ASWUPDSV.
AVAST
AVCENTER
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVEVAL.
AVEVL32.
AVGAM
AVGCC.
AVGCC32.
AVGCHSVX.
AVGCSRVX.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNSX.
AVGNT.
AVGNTMGR
AVGSERV.
AVGTRAY.
AVGUARD.
AVGUPSVC.
AVGWDSVC.
AVINITNT.
AVIRA
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVSCHED32.
AVSERVER.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR
AVXQUAR.
AVZ.
BDSWITCH.
BITDEFENDER
BLACKD.
BlackICE.
CAFIX.
CCEVTMGR.
CCSETMGR.
CFIAUDIT.
CFP.
CFPCONFIG.
CLAMTRAY.
ClamWin.
CureIt
DEFENDERDAEMON
DEFWATCH.
DRVIRUS.
DRWADINS.
DrWeb
DWEBIO
DWEBLLIO
EKRN.
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
F-Sched.
F-STOPW.
FAMEH32.
Filemon
GÜVENLİK DUVARI
FortiClient
FortiScan
FORTITRAY.
FPAVSERVER.
FPROTTRAY.
FPWIN.
Freshclam.
FSAV32.
FSAVGUI.
FSBWSYS.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWARE
GUARDGUI.
GUARDNT.
GUARDXKICKOFF.
GUARDXSERVICE.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
IPTRAY.
ISafe.
ISATRAY.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
MAMUTU
MCAGENT.
MCMNHDLR.
MCREGWIZ.
Mcupdate.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTOS.
NTRTSCAN.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
ONLINENT.
OP_MON.
OPSSVC.
Ileri karakol
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PestPatrol
PNMSRV.
PREVSRV.
Prevx
PSIMSVC.
QHONLINE.
QHONSVC.
QHSET.
QHWSCSVC.
QUHLPSVC.
RFWMAIN.
RTVSCAN.
RTVSCN95.
SALITY
SAPISSVC.
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SCANWSCS.
SDHELP.
SDRA64.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
TMLISTEN.
TMNTSRV.
TmProxy.
TNBUTIL.
TRJSCAN.
TROJAN.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZLCLIENT
ZoneAlarm
Çıkarılabilir ve uzak sürücüler:
Zararlı: Win32/Sality.AU aşağıdaki adlar altında, tüm uzak ve çıkarılabilir sürücülere virüslü dosyayı kopyalar:
- <drive> \ <random dosya adı. pif
- <drive> \ <random dosya adı. exe
Daha sonra Autorun konfigürasyonlu virüslü dosya, kendisini "autorun.inf" içerisine yazar. Autorun özelliği destekleyen bir bilgisayarın sürücüsüne eriştiğinde de, virüs otomatik olarak başlatılır.
Uzaktaki bir sunucuya bağlanır:
Zararlı:Win32/Sality.AU aşağıdaki web sitesine bağlanan bir uzak sunucuya bağlanır:
cdeinaa.com/sm.php?pizda1=angel
Diğer kötü amaçlı yazılım ismi:
Zararlı: Win32/Sality.AU aşağıdaki sürücü dosya adları ile kendisini gösterir:
% SystemRoot% \ system32 \ drivers \ abp470n5.sys
% SystemRoot% \ system32 \ drivers \ amsint32.sys
% SystemRoot% \ system32 \ drivers \asc3360pr.sys olarak tespit edilir.
Windows'u güvenli modda, önyüklemeli çalışmasını engeller:
Win32/Sality.AU zararlısı, sürekli olarak aşağıdaki satırları tarayıp silerek, kullanıcının Windows'u güvenli modda başlatmasının önüne geçmektedir.
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Aktif güvenlik yazılımlarını devredışı bırakıyor:
Win32 /Sality.AU, sistem servisleri açıklama tablosuna(SSDT=system service descriptor table) NT kernel("ntoskrnl.exe") üzerinden erişerek, orijinal SSDTyi kendi oluşturduğu infekte olmuş tampon sürücü(Trojan:WinNT/Sality) ile değiştiriyor.
SSDTye ulaşmaya çalışan yazılımlar, zararlı sürücüye yönlendiriliyor. Bu metod SSDT bağlantısı kullanan bazı HIPS yazılımlarını ve aktif tabanlı AV yazılımların çalışmasını engelliyor.
Güvenlikle ile ilgili dosyaları siliyor:
Bu zararlı, AV yazılımlarının kullandığı (aşağıdaki uzantılara sahip) veritabanlarını ve zararlı imzalarını siliyor;
.AVC
.VDB
Güvenlikle ilgili hizmetleri sonlandırır:
Win32/Sality.AU aşağıdaki güvenlik ile ilgili hizmetleri durdurur ve silmek için çalışır:
Acssrv
Alg
Amon Monitor
Aswfsblk
Aswmon2
Aswrdr
Aswsp
Aswtdi
Aswupdsv
Av Engine
Avast! Antivirus
Avast! Asynchronous Virus Monitor
Avast! Iavs4 Control Service
Avast! Mail Scanner
Avast! Self Protection
Avast! Web Scanner
Avg E-Mail Scanner
Avira Antivir Premium Guard
Avira Antivir Premium Mailguard
Avira Antivir Premium Webguard
Avp Agnitum Client Security Service
Bglivesvc
Blackice
Caisafe
Ccevtmgr
Ccproxy
Ccsetmgr
Cmdagent
Cmdguard
Comodo Firewall Pro Sandbox Driver
Eset Http Server
Eset Personal Firewall
Eset Service
F-Prot Antivirus Update Monitor
F-Secure Gatekeeper Handler Starter
Fsbwsys
Fsdfwd
Fsma
Google Online Services
Inorpc
Inort
Inotask
Issvc
Klif
Kpf4
Lavasoftfirewall
Livesrv
Mcafeeframework
Mcshield
Mctaskmanager
Mpssvc
Navapsvc
Nod32Krn
Npfmntor
Nscservice
Outpost Firewall Main Module
Outpostfirewall
Pavfires
Pavfnsvr
Pavprot
Pavprsrv
Pavsrv
Pcctlcom
Personalfirewal
Prevsrv
Protoport Firewall Service
Psimsvc
Rapapp
Savroam
Sharedaccess
Smcservice
Sndsrvc
Spbbcsvc
Spider Fs Monitor For Windows Nt
Spider Guard File System Monitor
Spidernt
Symantec Antivirus
Symantec Antivirus Definition Watcher
Symantec Core Lc
Symantec Password Validation
Tmntsrv
Tmpfw
Umxagent
Umxcfg
Umxlu
Umxpol
Vsmon
Vsserv
Webrootdesktopfirewalldataservice
Webrootfirewall
Wscsvc
Xcomm
Ayrıca, zararlı: Win32/Sality.AU aşağıdaki yüklü modül süreçleri ile sistemde değişiklikler yapmaya çalışır:
DWEBLLIO
DWEBIO
Windows ayarlarını değiştirir:
Zararlı: Win32/Sality.AU Windows Kayıt Defteri Düzenleyicisini devre dışı bırakmak için kayıt defterini değiştirir :
Değeri ekler: "DisableRegistryTools"
Ile veriler: "1"
Alt anahtarında: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ system
Bu virüs aynı zamanda gizli özelliklere sahip dosyaların incelenmesini önlemek için kayıt defterini değiştirir:
Değeri ekler: "Gizli"
Veri ile: "2"
Alt anahtarında: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer
Güvenlik yazılımlarını devredışı bırakır:
Zararlı: Win32/Sality.AU Windows güvenlik duvarını aşmak için kayıt defterini değiştirir:
Değeri ekler: "<malware dosya adı>: *: Etkin: IPSec"
Veri: "<malware dosya adı>"
Içinde Virüs bulaşmış bilgisayarın güvenliği düşük diğer kayıt defteri verilerini değiştirir. Windows Güvenlik Merkezi, Windows
Güvenlik Duvarı ayarlarını değiştirmek için aşağıdaki kayıt defteri verilerini değiştirir:
- HKE Y_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ SVC \ "FirewallDisableNotify" = "1"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ SVC \ "FirewallOverride" = "1"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ "UacDisableNotify" = "1"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ SVC \ "UacDisableNotify" = "1"
- = "0"
- TEHDİT FILE NAME] exe. "="% SystemDrive% \ [ORİJİNAL TEHDİT FILE NAME] exe: *: Etkin: IPSec "
- = "% Windir% \ Explorer.EXE: *: Etkin: IPSec"
Keyfi dosyalar yaratır:
Zararlı: Win32/Sality.AU girişimleri sonucunda, yerel sürücü, uzak sunuculardan dosya indirmek için indirilen dosyaların şifresini çözer ve çalıştırır. Zararlının aşağıdaki sunuculara bağlanmaya çalıştığı gözlemlenmiştir:
- 89.119.67.154
- kukutrustnet777.info
- kukutrustnet888.info
- kukutrustnet987.info
- www.klkjwre9fqwieluoi.info
Daha sonra% Windir% \ system.ini dosyası için aşağıdaki girişi ekler:
[MCIDRV_VER]
Tehdit sonra diğer potansiyel zararlı dosyaları bilgisayarınıza indirmek için talimat verebilir ve aşağıdaki URL'ler kontrol eder:
[Http://] hotelkalingaindore.com / logosu [KALDIRILACAKTIR]
[Http://] lasercareindia.com / main [KALDIRILACAKTIR]
Daha sonra aşağıdaki kayıt defteri girdilerini oluşturur:
- HKE Y_CURRENT_USER \ Software \ [RANDOM KARAKTERLER] \ "V [SAYISI] _ [ÜÇ RANDOM SAYISI] = [RANDOM DEĞER]
- HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ "GlobalUserOffline" = "0"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system \ "EnableLUA" = "0
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing \ \ "ConsoleTracingMask FWCFG," = "4294901760"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing \ \ "EnableConsoleTracing FWCFG," = "0"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing \ \ "EnableFileTracing FWCFG," = "0"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing \ \ "FileDirectory" = "% Windir% \ tracing FWCFG"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing \ \ "FileTracingMask FWCFG," = "4294901760"
- HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Tracing \ FWCFG \ "MaxFileSize" = "1048576"
Aşağıdaki kayıt defteri alt anahtarlarının altında tüm kayıt defteri girdilerini siler:
- HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
- HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
- HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Bilgisayarınıza virüs bulaşmasını engellemek için aşağıdaki adımları uygulayın:
- Bilgisayarınızda bir güvenlik duvarı etkinleştirin.
- Crack, keygen türü yazılım kullanımından kaçının.
- Güncel antivirüs yazılımı kullanın.
- Bilgisayarda kullanıcı ayrıcalıklarını sınırlayın.(Yönetici sıfatı ile giriş yapmayın)
- Eklerini açıp dosya aktarımlarını kabul ederken dikkatli olun. [/align][*][align=left] Üzerine tıkladığınız Web sayfası bağlantılarına dikkat edin.
- Korsan yazılım indirmekten kaçının.
- Sosyal mühendislik saldırılarına karşı kendinizi koruyun.
- Güçlü şifreler kullanın.İşletim sistemi güncellemelerini ihmal etmeyin.
ÖNEMLİ:
Zararlının sistemden temizlenmesi ile ilgili teknik ayrıntılar, ''stajyer eğitimi'' bölümümüzde bulunmaktadır.
Sality zararlısı sorunu ile karşılaştığınızda uzman ekibimizden yardım alabilirsiniz.
Kaynaklar:
www.naked-security.com/malware/W32.Sality.AM/
www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=virus:win32/sality.au
+ diğerleri.