Win32 sality что это
Семейство вирусов Virus.Sality.Win32
Virus.Sality.Win32 — семейство полиморфных файловых вирусов, которые используют инфицированные файлы и сеть для своего распространения.
Методы распространения
Вирусы этого семейства заражают исполняемые файлы с расширением *.exe и *.scr на всех доступных дисках, и сетевых ресурсах. Первыми инфицируется файлы, указанные в ключах реестра отвечающих за автозапуск, в результате чего вирус будет автоматически активироваться при каждой перезагрузке системы.
Функциональные возможности
Семейство вирусов насчитывает более 50 модификаций. Общим для них является полиморфизм и быстрое заражение файлов на компьютере. При заражении компьютера вирусом из семейства Sality часто оказываются зараженными несколько сотен или даже тысяч файлов.
Основные возможности вируса семейства Sality :
Технические особенности
Большая часть вирусов семейства Sality инфицирует PE (EXE) файлы, для этого вирус расширяет последнюю секцию PE файла и дописывает туда своё тело. Для последней секции устанавливаются атрибуты CODE EXECUTE, READ, WRITE.
Существуют также модификации вируса создающие дополнительные секции в PE файле, в которые они помещают своё тело.
Вирусы Sality являются полиморфным, поэтому в каждом файле код вируса выглядит по-разному. Отличительной чертой является сложный полиморфный алгоритм, которым вирусы этого семейства криптуют свое тело. Тело вируса может быть последовательно закриптованно несколькими разными полиморфными алгоритмами, с разными ключами криптования.
Вирусы этого семейства содержат ошибки в своем коде и часто необратимо повреждают файлы при инфицировании.
Win32/Sality.NBA
| Автор |  |
| Категория | Вирус |
| Дата обнаружения | 17.03.2010 |
| Размер | 160256 |
| Другие названия | |
| Virus.Win32.Sality.gen (Касперский) | |
| W32/Sality.gen.z (McAfee) | |
| Virus:Win32/Sality.AT (Microsoft) |
Краткое описание
Win32/Sality.НБА-это полиморфный файловый вирус.
Как устанавливается
При выполнении вирус создает в папке %System%\Drivers\ следующий файл:
Вместо %variable% используется строка с разным содержанием
Следующие файлы копируются в папку %temp%
Вирус регистрирует себя в качестве системной службы, со следующими именами:
Создаются следующие записи в реестре:
Тем самым создавая исключения во встроенном фаерволле Windows
Следующие записи реестра:
Следующие записи реестра удаляются:
Заражение исполняемых файлов
Win32/Sality.НБА-это полиморфный файловый вирус.
Вирус ищет на локальных и сетевых дисках файлы со следующими расширениями:
Исполняемые файлы заражаются путем добавления кода вируса к последнему разделу
Хост-файл изменен таким способом, который вызывает вирус быть выполнены до запуска исходного кода.
Вирус заражает файлы, на которые ссылаются следующие записи реестра:
Это приводит к тому, что вирус запускается при каждом запуске системы
Распространение на съёмных носителях
Вирус копирует себя в корневые папки removable drives с помощью random filename.
Имя файла имеет одно из следующих расширений:
Следующий файл хранится в той же папке:
AUTORUN.INF-файл содержит путь к вредоносного исполняемого файла.
Таким образом, вирус обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.
Дополнительная информация
Удаляются следующие файлы:
Отключаются следующие сервисы:
Вирус завершает процессы с любой из следующих строк в имени:
Вирус содержит список URL-адресов.
Пытается загрузить несколько файлов с удаленных адресов.
Они сохраняются в следующие папки:
Вместо %variable% используется строка с разным содержанием
Затем файлы выполняются
Вирус создает и запускает новый поток с собственным программным кодом во всех запущенных процессах.
Вирус изменяет следующие файлы:
Вирус записывает следующие записи в файл:
Как удалить
Для удаления указанного вредоносного ПО можно воспользоваться следующими специальными утилитами, предназначенными для удаления именно этого зловреда и его разновидностей:
Что вы знаете о Sality?
Sality — одно из наиболее известных семейств вредоносного программного обеспечения. В своем развитии ВПО Sality прошло несколько стадий.
Первое упоминание о нем датируется июлем 2003 года. В своей первоначальной версии Sality заражал исполняемые файлы путем добавления своего кода, упакованного с помощью UPX. В качестве полезной нагрузки выступал кейлоггер, перехваченные данные отсылались по протоколу SMTP на один из серверов, размещенных в России. Название является производной от английского названия города — «Salavat City» (Салават, Республика Башкортостан). Предположительно прозвище разработчика — Sector — дало название в классификации компании Dr.Web. На тот момент Sality не представлял интереса в техническом плане, автор использовал довольно примитивные механизмы — файловый инфектор был относительно простым по сравнению с другими образцами ВПО того времени, адрес SMTP сервера был жестко задан внутри кода и не мог быть изменен, так же не могла быть изменена полезная нагрузка.
С 2004 по 2008 год автор много работал над усовершенствованием Sality. Значительно изменилась методика инфицирования, а вирус стал полиморфным без изменения точки входа (техника entry-point obscuring), затрудняя тем самым процесс обнаружения и лечения. Вредоносные функции были выделены в отдельные модули, которые могли дополнительно загружаться с ряда URL-адресов, жестко прописанных в коде. Также были включены процедуры противодействия механизмам защиты: блокировка или отключение некоторых межсетевых экранов, утилит и антивирусных программ. Начиная с 2008 года (возможно, конца 2007) автор кардинально изменил схему распространения, вместо заранее заданных адресов, которые могли быть легко заблокированы антивирусными компаниями, был реализован механизм peer-to-peer обновления модулей и загрузки сторонних вредоносных программ для последующего запуска.
Архитектура
Далее описывается работа одной из последних версий Sality (после 2008 года). Все компоненты являются независимыми и запускаются в отдельных потоках.
Модуль инжектирования (внедрения в адресное пространство другого процесса)
Sality пытается внедрить свою копию во все запущенные процессы, за исключением тех, которые выполняются от имени аккаунтов ‘system’, ‘local service’ и ‘network service’. Для привилегированных процессов выставляет себе Debug privileges, и пытается внедриться снова. Для исключения повторного внедрения использует mutex с именем приложения. Это является одним из признаков инфицирования компьютера.
Модуль защиты
Модуль закачек
Модуль peer-to-peer
В протоколе 3-й версии была потенциальная уязвимость в алгоритме работы, которая позволяла перехватить управление ботнетом (антивирусным компаниям или другим злоумышленникам) — после скачивания и проверки списка URL-адресов не производится никаких других проверок ни самих адресов, ни файлов, скачиваемых с них. То есть можно было изменить записи DNS и/или подменить файлы-модули на свои, что вело к перехвату управления. Информация о такой возможности в целях уничтожения ботсети была опубликована неизвестным под псевдонимом law-abiding citizen (законопослушный гражданин).С целью устранения указанных слабых сторон 3-й версии, по-видимому, автор и разработал 4-ю версию, в которой все закачиваемые файлы должны содержать цифровую подпись и проверяются перед запуском при помощи открытого ключа RSA длинной 2048 бит.
Наши дни
В настоящее время Sality продолжает оставаться одной из наиболее распространенных вредоносных программ в мире. Группа исследователей из Калифорнийского университета в Сан-Диего и университета Наполи (Италия) в октябре 2012 года опубликовала отчёт (pdf, eng) с анализом активности Sality. Информация была собрана с помощью пассивной системы мониторинга трафика UCSD Network Telescope. Исследователи утверждают, что в 12-дневный период в феврале 2011 года с 3 млн IP-адресов приходили пакеты на инициацию соединения по протоколу SIP. По мнению авторов отчета, владельцы ботнета пытались брутфорсить SIP-сервера для создания фейковых аккаунтов, чтобы использовать их для бесплатной телефонии, анонимных звонков, мошенничества и т.д.
Интересно то, что использовался ряд методик, чтобы максимально замаскировать сканирование. Например, с 1 млн IP-адресов пришло всего по одному пакету на инициализацию соединения, затем эти адреса не использовались. Диапазон сканируемых IP-адресов изменялся по фрактальной кривой Гильберта, чтобы затруднить обнаружение факта сканирования. Исследователи считают, что был просканирован весь диапазон IPv4, то есть весь интернет, но этот трафик не смогла бы обнаружить ни одна система детектирования угроз, так как запросы шли с разных IP. Указанные факты помогают понять размах деятельности ботнета Sality и оценить интеллектуальные способности его создателей.
Данный текст является неполным русским переводом отчета компании Symantec «Sality: Story of a Peer-to-Peer Viral Network», ver.1, июль 2011 (pdf, eng).
Краткое описание Virus.Win32.Sality.aa
Опции темы
Краткое описание Virus.Win32.Sality.aa
Если у кого-нибудь есть более подробная информация, буду очень признателен.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Другие названия ( http://www.securelist.com/ru/descrip. in32.Sality.aa )
Virus.Win32.Sality.aa («Лаборатория Касперского») также известен как:
Virus.Win32.Sality.af («Лаборатория Касперского»)
Worm.Win32.Agent.vu («Лаборатория Касперского»)
Trojan-GameThief.Win32.Magania.gen («Лаборатория Касперского»)
Virus.Win32.Sality.ab («Лаборатория Касперского»)
Virus.Win32.Sality.ab («Лаборатория Касперского»)
Virus.Win32.Sality.ad («Лаборатория Касперского»)
Virus.Win32.Sality.ac («Лаборатория Касперского»)
Worm.Win32.AutoRun.eiy («Лаборатория Касперского»),
Virus: W32/Sality.gen (McAfee)
W32/Sality-AM (Sophos)
W32/Sality.AH (Panda)
W32/Sality.AK (Panda)
W32/Sality.AK (FPROT)
W32/Backdoor2.DAFQ (FPROT)
Virus:Win32/Sality.AM (MS(OneCare))
BackDoor.IRC.Flood.8 (DrWeb)
Win32.Sector.17 (DrWeb)
Win32/Sality.NAU virus (Nod32)
Win32.Sality.OG (BitDef7)
Win32.Sality.AO.Gen (VirusBuster)
Win32.Sality.AP.Gen (VirusBuster)
Win32:Sality (AVAST)
Virus.W32.Sality (Ikarus)
Worm.Win32.Hamweq (Ikarus)
TR/Inject.kcm (AVIRA)
W32.Sality.AE (NAV)
W32/Sality.AQ (Norman)
W32/Sality.AN (Norman)
Win32.KUKU.GEN (Rising)
PE_SALITY.DAM (TrendMicro)
PE_SALITY.EN-1 (TrendMicro)
Virus.Win32. Sality.ag
Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ.
Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.
Инсталляция
При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:
где rnd – случайные латинские прописные буквы, например, «INDSNN». Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.
Извлеченный драйвер устанавливается и запускается в системе как сервис с именем «amsint32».
Распространение
Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:
Заражаются только файлы, которые содержат в PE-заголовке секции: При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем: Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений: А также создает в корневом каталоге этих дисков скрытый файл: в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в «Проводнике» происходит запуск вредоносной программы.
name=»doc3″>
Деструктивная активность
После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем «Ap1mutx7».
Пытается выполнить загрузку файлов, расположенных по ссылкам:
Загруженные файлы сохраняются в папке %Temp% и запускаются.
На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:
Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.
Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:
Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.