Windowst gyengít a Sality vírus

A Sality.Z vírus nem kíméli a futtatható állományokat, miközben rengeteg módosítást végez a fertőzött rendszereken.

A Sality.Z vírus legtöbbször cserélhető meghajtókon és hálózati megosztásokon keresztül terjed. Ehhez véletlenszerűen generált fájlneveket használ. Minden adattároló gyökér könyvtárába egy “autorun.inf” nevű állományt is létrehoz. A vírus egy rootkit komponenst telepít a kiszemelt rendszerekre, melynek révén igyekszik minél jobban elrejtőzni.

A Sality.Z minden .exe és .scr kiterjesztésű állományt megfertőz. Ezt követően leállítja a biztonsági szoftverekhez tartozó folyamatokat, igyekszik megkerülni a Windows beépített tűzfalát, valamint a fertőzött számítógépekről elérhetetlenné tesz néhány biztonsági céghez tartozó weboldalt.

Amikor a Sality.Z vírus elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt:
   %System%\drivers\[véletlenszerű fájlnév].sys (rootkit komponens)
2. A Windows system.ini állományához hozzáfűzi a következő sorokat:
   [MCIDRV_VER]
   DEVICEMB=[véletlenszerű szám]
3. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
   HKLM\SYSTEM\CurrentControlSet\Services\asc3360pr
4. Megkeresi a .exe és a .scr kiterjesztésű állományokat, majd megfertőzi azokat.
5. Megpróbál hálózati, illetve cserélhető meghajtókon keresztül terjedni. A saját állományát véletlenszerű névvel látja el, miközben egy “autorun.inf” állományt is létrehoz.
6. Interneten keresztül letölt egy kártékony programot.
7. Letörli a következő kiterjesztések valamelyikével rendelkező fájlokat:
   .vdb
   .key
   .avc
8. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
   HKCU\System\CurrentControlSet\Control\SafeBoot
   HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
   HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
9. Leállítja a biztonsági szoftverekhez tartozó folyamatokat.
10. Blokkolja a biztonsági cégek weboldalának megjelenítését.
11. A regisztrációs adatbázisban módosítja a következő kulcsokat:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\S
    tandardProfile\AuthorizedApplications\List”[fájlnév]” = “[fájlnév]:*:Enabled:ipsec”
    HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2