A Sality.Z vírus nem kíméli a futtatható állományokat, miközben rengeteg módosítást végez a fertőzött rendszereken.
A Sality.Z vírus legtöbbször cserélhető meghajtókon és hálózati megosztásokon keresztül terjed. Ehhez véletlenszerűen generált fájlneveket használ. Minden adattároló gyökér könyvtárába egy “autorun.inf” nevű állományt is létrehoz. A vírus egy rootkit komponenst telepít a kiszemelt rendszerekre, melynek révén igyekszik minél jobban elrejtőzni.
A Sality.Z minden .exe és .scr kiterjesztésű állományt megfertőz. Ezt követően leállítja a biztonsági szoftverekhez tartozó folyamatokat, igyekszik megkerülni a Windows beépített tűzfalát, valamint a fertőzött számítógépekről elérhetetlenné tesz néhány biztonsági céghez tartozó weboldalt.
Amikor a Sality.Z vírus elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt:
%System%\drivers\[véletlenszerű fájlnév].sys (rootkit komponens) - A Windows system.ini állományához hozzáfűzi a következő sorokat:
[MCIDRV_VER]
DEVICEMB=[véletlenszerű szám] - A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLM\SYSTEM\CurrentControlSet\Services\asc3360pr - Megkeresi a .exe és a .scr kiterjesztésű állományokat, majd megfertőzi azokat.
- Megpróbál hálózati, illetve cserélhető meghajtókon keresztül terjedni. A saját állományát véletlenszerű névvel látja el, miközben egy “autorun.inf” állományt is létrehoz.
- Interneten keresztül letölt egy kártékony programot.
- Letörli a következő kiterjesztések valamelyikével rendelkező fájlokat:
.vdb
.key
.avc - A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
HKCU\System\CurrentControlSet\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects - Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
- Blokkolja a biztonsági cégek weboldalának megjelenítését.
- A regisztrációs adatbázisban módosítja a következő kulcsokat:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\S
tandardProfile\AuthorizedApplications\List”[fájlnév]” = “[fájlnév]:*:Enabled:ipsec”
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2