اطلاعات کامل ویروس Sality
معرفی ویروس W32.Sality.AE:
این ویروس توسط نرم افزار های مختلف به نام های زیر شناسایی می شود:
TROJ_AGENT.XOO [Trend],
W32/Sality.ae [McAfee],
Sality.AG [Panda Software],
Win32/Sality.Z [Computer Associates],
Win32/Sality.AA [Computer Associates]
این ویروس پس از اجرا در سیستم شما کلید های فرعی زیر را در رجیستری سیستم شما ایجاد می کند:
*
HKEY_CURRENT_USER\Software\[USER NAME]914
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WMI_MFC_TPSHOKER_80
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_IPFILTERDRIVER
همچنین کلید فرعی زیر را در رجیستری ایجاد می کند که فایروال ویندوز را اصطلاحا دور زده و لیست تمام نرم افزارهایی
که در زیر شاخه این کلید فرعی ایجاد می شود را به عنوان نرم افزار های مجاز به عبور از فایروال معرفی می کند.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabled:ipsec"
مقادیر رجیستری زیر را نیز تغییر می دهد:
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet
Setting\"GlobalUserOffline" = "0"
*
HKEY_LOCAL_MACHINE\SOFTWARE\
*
Microsoft\Windows\CurrentVersion\policies\system\" EnableLUA" = "0"
این ویروس همچنین مقادیر ذیل کلید های رجیستری زیر را پاک می کند:
*
HKEY_CURRENT_USER\System\CurrentControlSet\Control \SafeBoot
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\Stats
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Ext\Stats
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper
Objects
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper
Objects
سپس خود را به عنوان یک سرویس جدید با اطلاعات زیر معرفی می کند (منظور از سرویس همان پروسه ها یا فعالیت
هایی است که به صورت پنهان در سیستم شما در حال اجراست و می توانید با زدن همزمان کلید های
alt+ctrl+delete و ورود به task manager و انتخاب سربرگ processes لیست تمام سرویس های در حال اجرای
سیستم را ببینید. البته اگر با زدن کلید های فوق وارد تسک منیجر نمی شوید اصلا تعجب نکنید چون از اولین اقدامات این
ویروس مانند بسیاری از ویروس های مشابه غیر فعال کردن تسک منیجر است . در قسمت نحوه پاک کردن این ویروس
راه برای فعال کردن تسک منیجر نشان داده شده است)
Service Name: WMI_MFC_TPSHOKER_80
Display Name: WMI_MFC_TPSHOKER_80
Startup Type: Automatic
*
این ویروس همچنین هر کدام از سرویس های زیر را که در سیستم شما فعال باشد غیر فعال می کند: (توجه داشته
باشید که برخی از این سرویس ها مربوط به نرم افزاری است که روی سیستم خود نصب کرده اید)
ALG
*
aswUpdSv
*
avast! Antivirus
*
avast! Mail Scanner
*
avast! Web Scanner
*
AVP
*
BackWeb Plug-in - 4476822
*
bdss
*
BGLiveSvc
*
BlackICE
*
CAISafe
*
ccEvtMgr
*
ccProxy
*
ccSetMgr
*
F-Prot Antivirus Update Monitor
*
fsbwsys
*
FSDFWD
*
F-Secure Gatekeeper Handler Starter
*
fshttps
*
FSMA
*
InoRPC
*
InoRT
*
InoTask
*
ISSVC
*
KPF4
*
LavasoftFirewall
*
LIVESRV
*
McAfeeFramework
*
McShield
*
McTaskManager
*
navapsvc
*
NOD32krn
*
NPFMntor
*
NSCService
*
Outpost Firewall main module
*
OutpostFirewall
*
PAVFIRES
*
PAVFNSVR
*
PavProt
*
PavPrSrv
*
PAVSRV
*
PcCtlCom
*
PersonalFirewal
*
PREVSRV
*
ProtoPort Firewall service
*
PSIMSVC
*
RapApp
*
SmcService
*
SNDSrvc
*
SPBBCSvc
*
Symantec Core LC
*
Tmntsrv
*
TmPfw
*
tmproxy
*
UmxAgent
*
UmxCfg
*
UmxLU
*
UmxPol
*
vsmon
*
VSSERV
*
WebrootDesktopFirewallDataService
*
WebrootFirewall
*
XCOMM
این ویروس تمام فایل های اجرایی (که عموما دارای پسوند exe هستند) و ذیل کلید فرعی رجیستری زیر قرار دارند را
الوده می کند:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
همچنین تمانم فایل های اجرایی که ذیل کلیدهای زیر لیست می شوند:
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
(با این کار با هر بار اجرای نرم ازار های فوق این ویروس تکثیر می شود)
همچنین تمام فایل های دارای پسوند exe یا scr را روی درایو سی یا درایوی که ویندوز روی آن نصب است را الوده می
کند.(البته بجز فایل هایی که در فولدری دارای ریشه system یا ahead باشند) و فایل های الوده شده به سایز 57344
بایت افزایش خواهند یافت.
این ویروس تمام فایل هایی که دارای کاراکتر های زیر در نام خود باشند را پاک می کند.
* .VDB
* .AVC
* .KEY
* drw
* _AVPM
* A2GUARD
* AAVSHIELD
* AVAST
* ADVCHK
* AHNSD
* AIRDEFENSE
* ALERTSVC
* ALMON
* ALOGSERV
* ALSVC
* AMON
* ANTI-TROJAN
* AVZ
* ANTIVIR
* ANTS
* APVXDWIN
* ARMOR2NET
* ASHAVAST
* ASHDISP
* ASHENHCD
* ASHMAISV
* ASHPOPWZ
* ASHSERV
* ASHSIMPL
* ASHSKPCK
* ASHWEBSV
* ASWUPDSV
* ATCON
* ATUPDATER
* ATWATCH
* AUPDATE
* AUTODOWN
* AUTOTRACE
* AUTOUPDATE
* AVCIMAN
* AVCONSOL
* AVENGINE
* AVGAMSVR
* AVGCC
* AVGCC32
* AVGCTRL
* AVGEMC
* AVGFWSRV
* AVGNT
* AVGNTDD
* AVGNTMGR
* AVGSERV
* AVGUARD
* AVGUPSVC
* AVINITNT
* AVKSERV
* AVKSERVICE
* AVKWCTL
* AVP
* AVP32
* AVPCC
* AVPM
* AVPUPD
* AVSCHED32
* AVSYNMGR
* AVWUPD32
* AVWUPSRV
* AVXMONITOR9X
* AVXMONITORNT
* AVXQUAR
* BACKWEB-4476822
* BDMCON
* BDNEWS
* BDOESRV
* BDSS
* BDSUBMIT
* BDSWITCH
* BLACKD
* BLACKICE
* CAFIX
* CCAPP
* CCEVTMGR
* CCPROXY
* CCSETMGR
* CFIAUDIT
* CLAMTRAY
* CLAMWIN
* CLAW95
* CLAW95CF
* CLEANER
* CLEANER3
* CLISVC
* CMGRDIAN
* CUREIT
* DEFWATCH
* DOORS
* DRVIRUS
* DRWADINS
* DRWEB32W
* DRWEBSCD
* DRWEBUPW
* ESCANH95
* ESCANHNT
* EWIDOCTRL
* EZANTIVIRUSREGISTRATIONCHECK
* F-AGNT95
* FAMEH32
* FAST
* FCH32
* FILEMON
* FIRESVC
* FIRETRAY
* FIREWALL
* FPAVUPDM
* F-PROT95
* FRESHCLAM
* FRW
* FSAV32
* FSAVGUI
* FSBWSYS
* F-SCHED
* FSDFWD
* FSGK32
* FSGK32ST
* FSGUIEXE
* FSM32
* FSMA32
* FSMB32
* FSPEX.
* FSSM32
* F-STOPW
* GCASDTSERV
* GCASSERV
* GIANTANTISPYWAREMAIN
* GIANTANTISPYWAREUPDATER
* GUARDGUI
* GUARDNT
* HREGMON
* HRRES
* HSOCKPE
* HUPDATE
* IAMAPP
* IAMSERV
* ICLOAD95
* ICLOADNT
* ICMON
* ICSSUPPNT
* ICSUPP95
* ICSUPPNT
* IFACE
* INETUPD
* INOCIT
* INORPC
* INORT
* INOTASK
* INOUPTNG
* IOMON98
* ISAFE
* ISATRAY
* ISRV95
* ISSVC
* KAV
* KAVMM
* KAVPF
* KAVPFW
* KAVSTART
* KAVSVC
* KAVSVCUI
* KMAILMON
* KPFWSVC
* KWATCH
* LOCKDOWN2000
* LOGWATNT
* LUALL
* LUCOMSERVER
* LUUPDATE
* MCAGENT
* MCMNHDLR
* MCREGWIZ
* MCUPDATE
* MCVSSHLD
* MINILOG
* MYAGTSVC
* MYAGTTRY
* NAVAPSVC
* NAVAPW32
* NAVLU32
* NAVW32
* NOD32
* NEOWATCHLOG
* NEOWATCHTRAY
* NISSERV
* NISUM
* NMAIN
* NOD32
* NORMIST
* NOTSTART
* NPAVTRAY
* NPFMNTOR
* NPFMSG
* NPROTECT
* NSCHED32
* NSMDTR
* NSSSERV
* NSSTRAY
* NTRTSCAN
* NTXCONFIG
* NUPGRADE
* NVC95
* NVCOD
* NVCTE
* NVCUT
* NWSERVICE
* OFCPFWSVC
* OUTPOST
* PAV
* PAVFIRES
* PAVFNSVR
* PAVKRE
* PAVPROT
* PAVPROXY
* PAVPRSRV
* PAVSRV51
* PAVSS
* PCCGUIDE
* PCCIOMON
* PCCNTMON
* PCCPFW
* PCCTLCOM
* PCTAV
* PERSFW
* PERTSK
* PERVAC
* PNMSRV
* POP3TRAP
* POPROXY
* PREVSRV
* PSIMSVC
* QHM32
* QHONLINE
* QHONSVC
* QHPF
* QHWSCSVC
* RAVMON
* RAVTIMER
* REALMON
* REALMON95
* RFWMAIN
* RTVSCAN
* RTVSCN95
* RULAUNCH
* SAVADMINSERVICE
* SAVMAIN
* SAVPROGRESS
* SAVSCAN
* SCAN32
* SCANNINGPROCESS
* CUREIT
* SDHELP
* SHSTAT
* SITECLI
* SPBBCSVC
* SPHINX
* SPIDERML
* SPIDERNT
* SPIDERUI
* SPYBOTSD
* SPYXX
* SS3EDIT
* STOPSIGNAV
* SWAGENT
* SWDOCTOR
* SWNETSUP
* SYMLCSVC
* SYMPROXYSVC
* SYMSPORT
* SYMWSC
* SYNMGR
* TAUMON
* TBMON
* TC
* TCA
* TCM
* TDS-3
* TEATIMER
* TFAK
* THAV
* THSM
* TMAS
* TMLISTEN
* TMNTSRV
* TMPFW
* TMPROXY
* TNBUTIL
* TRJSCAN
* UP2DATE
* VBA32ECM
* VBA32IFS
* VBA32LDR
* VBA32PP3
* VBSNTW
* VCHK
* VCRMON
* VETTRAY
* VIRUSKEEPER
* VPTRAY
* VRFWSVC
* VRMONNT
* VRMONSVC
* VRRW32
* VSECOMR
* VSHWIN32
* VSMON
* VSSERV
* VSSTAT
* WATCHDOG
* WEBPROXY
* WEBSCANX
* WEBTRAP
* WGFE95
* WINAW32
* WINROUTE
* WINSS
* WINSSNOTIFY
* WRADMIN
* WRCTRL
* XCOMMSVR
* ZATUTOR
* ZAUINST
* ZLCLIENT
* ZONEALARM
این ویروس به سایت های زیر برای دریافت دستور العمل ها متصل می شود. دستور العمل های دریافتی دارای ادرس
سایت های اضافه برای امکان دانلود بد افزار های جدید است:
* [* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید[REMOVED]کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
* [[REMOVED]کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
* [[REMOVED]کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
* [[REMOVED]کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
* [[REMOVED]کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
* [* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید* [کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
این ویروس دسترسی به سایت های مختلف امنیتی که در نام خود یکی از کلمات زیر را داشته باشند را ممنوع می
کند(به همین دلیل است که در صورت الوده شدن سیستم شما به این ویروس نمی توانید از امکانات اسکن ان لاین
سایت های انتی ویروس استفاده نمایید)
* Cureit
* Drweb
* Onlinescan
* Spywareinfo
* Ewido
* Virusscan
* Windowsecurity
* Spywareguide
* Bitdefender
* Panda software
* Agnmitum
* Virustotal
* Sophos
* Trend Micro
* Etrust.com
* Symantec
* McAfee
* F-Secure
* Eset.com
* Kaspersky
این ویروس اطلاعات زیر را به فایل %Windir%\system.ini اضافه می کند (منظور از %Windir% درایوی است که
شما ویندوز را انجا نصب کرده اید. البته واضح است که فایل فوق به صورت مخفی می باشد.)
[MCIDRV_VER]
این ویروس خود را به هر درایو قابل جابجایی(شامل انواع مموری های فلش و دیسکت ها و فلاپی ها) با نام های زیر
کپی می کند:
%DriveLetter%:\[RANDOM NAME].exe
%DriveLetter%:\[RANDOM NAME].cmd
%DriveLetter%:\[RANDOM NAME].pdf
(و منظور از RANDOM NAME نام تصادفی است که در هر بار الوده کردن یک درایو تغییر می کند.)
فایل زیر به هر درایو قابل جابجایی اضافه می شود که به واسطه ان با هر بار اتصال ان درایو به کامپیوتر، ویروس به
صورت خودکار اجرا می شود.
%DriveLetter%:\autorun.inf
جواب بصورت نقل قول
