A Sality.Z vírus nem kíméli a futtatható állományokat, miközben rengeteg módosítást végez a fertőzött rendszereken.

A Sality.Z vírus legtöbbször cserélhető meghajtókon és hálózati megosztásokon keresztül terjed. Ehhez véletlenszerűen generált fájlneveket használ. Minden adattároló gyökér könyvtárába egy “autorun.inf” nevű állományt is létrehoz. A vírus egy rootkit komponenst telepít a kiszemelt rendszerekre, melynek révén igyekszik minél jobban elrejtőzni.

A Sality.Z minden .exe és .scr kiterjesztésű állományt megfertőz. Ezt követően leállítja a biztonsági szoftverekhez tartozó folyamatokat, igyekszik megkerülni a Windows beépített tűzfalát, valamint a fertőzött számítógépekről elérhetetlenné tesz néhány biztonsági céghez tartozó weboldalt.

Windowst gyengít a Sality vírus

Amikor a Sality.Z vírus elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt:
    %System%\drivers\[véletlenszerű fájlnév].sys (rootkit komponens)
  2. A Windows system.ini állományához hozzáfűzi a következő sorokat:
    [MCIDRV_VER]
    DEVICEMB=[véletlenszerű szám]
  3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
    HKLM\SYSTEM\CurrentControlSet\Services\asc3360pr
  4. Megkeresi a .exe és a .scr kiterjesztésű állományokat, majd megfertőzi azokat.
  5. Megpróbál hálózati, illetve cserélhető meghajtókon keresztül terjedni. A saját állományát véletlenszerű névvel látja el, miközben egy “autorun.inf” állományt is létrehoz.
  6. Interneten keresztül letölt egy kártékony programot.
  7. Letörli a következő kiterjesztések valamelyikével rendelkező fájlokat:
    .vdb
    .key
    .avc
  8. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
    HKCU\System\CurrentControlSet\Control\SafeBoot
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
    HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
  9. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
  10. Blokkolja a biztonsági cégek weboldalának megjelenítését.
  11. A regisztrációs adatbázisban módosítja a következő kulcsokat:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\S
    tandardProfile\AuthorizedApplications\List”[fájlnév]” = “[fájlnév]:*:Enabled:ipsec”
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2