Virus.Win32.Sality.v
Материал из Total Malware Info
Virus.Win32.Sality.v Вирус с троянским функционалом. Является приложением Windows (PE-EXE файл). Имеет размер 307200 байт.
Инсталляция
При запуске зараженного файла вирус извлекает из своего тела файл, который содержит основной функционал вируса:
%System%\lk486551.dll
Данный файл имеет размер 81920 байта и детектируется Антивирусом Касперского как Trojan.Win32.KillAV.nk после чего извлеченный файл загружается как библиотека DLL и вирус передает управление оригинальной зараженной программе. Извлекает из своего тела файл:
%System%\drivers\<rnd>.sys
где, rnd - случайная последовательность прописных букв. Данный файл имеет размер 5077 байта и детектируется Антивирусом Касперского как Trojan.Win32.KillAV.ne Заражение файлов Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR Вирус не заражает файлы размером больше 20971520 байт и меньше 512 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT UPX CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска
Деструктивная активность
Библиотека:
%System%\lk486551.dll
устанавливает перехватчик событий оконной процедуры для всех процессов таким образом подгружая себя в адресное пространство всех запущенных процессов.
Завершает процессы, которые содержат следующие строки в именах и удаляет их исполняемые файлы:
_AVPM.�A2GUARD.�AAVSHIELD.�AVAST�ADVCHK.�AHNSD.�AIRDEFENSE�ALERTSVC�ALMON.�ALOGSERV�ALSVC.�AMON.�ANTI-TROJAN.�AVZ.�ANTIVIR�ANTS.�APVXDWIN.�ARMOR2NET.�ASHAVAST. ASHDISP.�ASHENHCD.�ASHMAISV.�ASHPOPWZ.�ASHSERV.�ASHSIMPL.�ASHSKPCK.�ASHWEBSV.�ASWUPDSV.�ATCON.�ATUPDATER.�ATWATCH.�AUPDATE.�AUTODOWN.�AUTOTRACE.�AUTOUPDATE.�AVCIMAN.�AVCONSOL.�AVENGINE.�AVGAMSVR.�AVGCC.�AVGCC32.�AVGCTRL.�AVGEMC.�AVGFWSRV.�AVGNT.�AVGNTDD�AVGNTMGR�AVGSERV.�AVGUARD.�AVGUPSVC.�AVINITNT.�AVKSERV.�AVKSERVICE. AVKWCTL.�AVP.�AVP32.�AVPCC.�AVPM.�AVPUPD.�AVSCHED32.�AVSYNMGR.�AVWUPD32.�AVWUPSRV.�AVXMONITOR9X.�AVXMONITORNT.�AVXQUAR.�BACKWEB-4476822.�BDMCON.�BDNEWS.�BDOESRV.�BDSS.�BDSUBMIT. BDSWITCH.�BLACKD.�BLACKICE.�CAFIX.�CCAPP.�CCEVTMGR.�CCPROXY.�CCSETMGR.�CFIAUDIT.�CLAMTRAY.�CLAMWIN.�CLAW95.�CLAW95CF.�CLEANER.�CLEANER3.�CLISVC.�CMGRDIAN.�CUREIT�DEFWATCH. DOORS.�DRVIRUS.�DRWADINS.�DRWEB32W.�DRWEBSCD.�DRWEBUPW.�ESCANH95.�ESCANHNT.�EWIDOCTRL.�EZANTIVIRUSREGISTRATIONCHECK.�F-AGNT95.�FAMEH32.�FAST.�FCH32.�FILEMON�FIRESVC.�FIRETRAY.�FIREWALL.�FPAVUPDM.�F-PROT95.�FRESHCLAM.�FRW.�FSAV32.�FSAVGUI.�FSBWSYS.�F-SCHED.�FSDFWD.�FSGK32.�FSGK32ST.�FSGUIEXE.�FSM32.�FSMA32.�FSMB32.�FSPEX.�FSSM32.�F-STOPW.�GCASDTSERV.�GCASSERV.�GIANTANTISPYWAREMAIN.�GIANTANTISPYWAREUPDATER.�GUARDGUI.�GUARDNT.�HREGMON.�HRRES.�HSOCKPE.�HUPDATE.�IAMAPP.�IAMSERV.�ICLOAD95.�ICLOADNT.�ICMON.�ICSSUPPNT.�ICSUPP95.�ICSUPPNT.�IFACE.�INETUPD.�INOCIT.�INORPC.�INORT.�INOTASK.�INOUPTNG.�IOMON98.�ISAFE.�ISATRAY.�ISRV95.�ISSVC.�KAV.�KAVMM.�KAVPF.�KAVPFW.�KAVSTART.�KAVSVC.�KAVSVCUI.�KMAILMON.�KPFWSVC.�KWATCH.�LOCKDOWN2000.�LOGWATNT.�LUALL.�LUCOMSERVER.�LUUPDATE.�MCAGENT.�MCMNHDLR.�MCREGWIZ. MCUPDATE.�MCVSSHLD.�MINILOG.�MYAGTSVC.�MYAGTTRY.�NAVAPSVC.�NAVAPW32.�NAVLU32.�NAVW32.�NOD32.�NEOWATCHLOG.�NEOWATCHTRAY.�NISSERV NISUM.�NMAIN.�NOD32�NORMIST.�NOTSTART.�NPAVTRAY.�NPFMNTOR.�NPFMSG.�NPROTECT.�NSCHED32.�NSMDTR.�NSSSERV.�NSSTRAY.�NTRTSCAN.�NTXCONFIG.�NUPGRADE.�NVC95.�NVCOD. NVCTE.�NVCUT.�NWSERVICE.�OFCPFWSVC.�OUTPOST.�PAV.�PAVFIRES.�PAVFNSVR.�PAVKRE.�PAVPROT.�PAVPROXY.�PAVPRSRV.�PAVSRV51.�PAVSS.�PCCGUIDE.�PCCIOMON. PCCNTMON.�PCCPFW. PCCTLCOM.�PCTAV.�PERSFW.�PERTSK.�PERVAC.�PNMSRV.�POP3TRAP.�POPROXY.�PREVSRV.�PSIMSVC.�QHM32.�QHONLINE.�QHONSVC.�QHPF.�QHWSCSVC.�RAVMON.�RAVTIMER.�REALMON.�REALMON95.�RFWMAIN.�RTVSCAN.�RTVSCN95.�RULAUNCH.�SAVADMINSERVICE.�SAVMAIN.�SAVPROGRESS.�SAVSCAN.�SCAN32.�SCANNINGPROCESS.�SCHED.�SDHELP.�SHSTAT.�SITECLI.�SPBBCSVC.�SPHINX. SPIDERML.�SPIDERNT.�SPIDERUI.�SPYBOTSD.�SPYXX.�SS3EDIT.�STOPSIGNAV.�SWAGENT.�SWDOCTOR.�SWNETSUP.�SYMLCSVC.�SYMPROXYSVC.�SYMSPORT.�SYMWSC.�SYNMGR.�TAUMON.�TBMON.�TC.�TCA.�TCM.�TDS-3.�TEATIMER.�TFAK.�THAV.�THSM.�TMAS.�TMLISTEN.�TMNTSRV.�TMPFW.�TMPROXY.�TNBUTIL.�TRJSCAN.�UP2DATE.�VBA32ECM.�VBA32IFS.�VBA32LDR. VBA32PP3.�VBSNTW.�VCHK.�VCRMON.�VETTRAY.�VIRUSKEEPER.�VPTRAY.�VRFWSVC.�VRMONNT.�VRMONSVC.�VRRW32.�VSECOMR.�VSHWIN32.�VSMON.�VSSERV.�VSSTAT.�WATCHDOG.�WEBPROXY.�WEBSCANX.�WEBTRAP.�WGFE95.�WINAW32.�WINROUTE.�WINSS.�WINSSNOTIFY.�WRADMIN.�WRCTRL.�XCOMMSVR.�ZATUTOR.�ZAUINST.�ZLCLIENT.�ZONEALARM.
Останавливает службы:
avast! Antivirus avast! Mail Scanner avast! Web Scanner BackWeb Plug-in иdss BGLiveSvc BlackICE CAISafe ccEvtMgr ccProxy ccSetMgr F-Prot Antivirus Update FSDFWD F-Secure Gatekeeper Handler Starter Fshttps FSMA InoRPC InoRT InoTask ISSVC KPF4 LavasoftFirewall LIVESRV McAfeeFramework McShield McTaskManager Navapsvc NOD32krn NPFMntor NSCService Outpost Firewall PAVFIRES PAVFNSVR PavProt PavPrSrv PAVSRV PcCtlCom PersonalFirewal�PREVSRV ProtoPort Firewall Service PSIMSVC RapApp SmcService SNDSrvc SPBBCSvc Symantec Core LC Tmntsrv TmPfw Tmproxy UmxAgent UmxCfg UmxLU UmxPol Vsmon VSSERV WebrootDesktopFirewallDataService WebrootFirewall XCOMM�AVP
Скачивает файлы со следующих адресов:
http://www.kjwre**********euoi.info/ makemegood24.com perfectchoice1.com cash-ddt.net ddr-cash.net trn-cash.net money-frn.net clr-cash.net xxxl-cash.net
и сохраняет их во временную папку с временным именем после чего запускает на выполнение. Ищет и удаляет файлы с расширениями:
.vdb .key .avc
и содержащие в имени строку "drw". Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи <Диспетчера задач> завершить вредоносный процесс.
- Удалить оригинальный файл вируса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%System%\lk486551.dll %System%\drivers\<rnd>.sys
где, rnd - случайная последовательность прописных букв.
