Tweet
Avaliação dos Riscos: Home | Low Low | Corporativo
Data da publicação: 2008/09/22
Data adicionada: 2008/09/22
Origem: N / A
Duração: varia
Tipo: Virus
Subtipo: Win32
DAT necessário: 5389
W32/Sality.ao é um vírus parasita que infecta arquivos executáveis Win32 PE.
Ele infecta os arquivos (*. exe e *. scr) no local, de rede e drives removíveis, substituindo o código no ponto de entrada do arquivo original e salvar o código substituído em seu corpo o vírus.
Em seguida, acrescenta o corpo do vírus para o arquivo host.
# Presença do arquivo (s) mencionado.
# Presença da chave do Registro (s) mencionado.
# Inesperado tráfego de rede para um ou mais do domínio (s) mencionado.
W32/Sality.ao pesquisas unidades locais, removíveis e compartilhamentos de rede para arquivos executáveis do Windows PE para infectar. Ele substitui o ponto de entrada original dos arquivos que infecta com seu código viral e acrescenta-se a última seção da imagem PE.
PE_SALITY.JER (Trend Micro), Virus.Win32.Sality.aa (Kaspersky), Virus.Win32.Sality.y (Ikarus), Vírus Win32/Sality.AM (Microsoft), W32.Sality.AE (Symantec), W32/Sality-AM (Sophos), W32/Sality.AE Norman (), W32/Sality.AH Panda (), W32/Sality.AK (F-Prot), Win32.KUKU.a (Rising) Win32.Sality, . OG BitDefender (), Win32/Sality.AA EFP ()
segundo o site da mcafee
Vírus W32/Sality.Y
Data em que surgiu: 06/08/2008
Tipo: File infector
Incluído na lista "In The Wild" Sim
Nível de danos: De baixo a médio
Nível de distribuição: Médio
Nível de risco: De médio a elevado
Ficheiro estático: Não
Versão IVDF: 7.00.05.207
Versão do motor antivírus: 8.01.01.018
Meios de transmissão:
• Infects files (pt)
• Rede local
• Unidade de rede
Alias:
• Symantec: W32.Sality.AE
• Mcafee: W32/Sality.gen
• Kaspersky: Virus.Win32.Sality.aa
• TrendMicro: PE_SALITY.JER
• F-Secure: Virus.Win32.Sality.aa
• Sophos: W32/Sality-AM
• Panda: W32/Sality.AK
• VirusBuster: Sality.AQ.Gen
• Bitdefender: Win32.Sality.OG
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Infects files (pt)
• Baixa as definições de segurança
• Altera o registo do Windows
– %SYSDIR%\drivers\%palavras aleatórias%.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.5509
Infecção de ficheiros Infector type: (pt)
Infector embedded (pt)
Self Modification (pt)
Infector polymorphic (pt)
Forma:
Contém uma ligação para outro malware.
Infection Length (pt)
Approximately (pt) 70.000 Bytes
The following files are infected (P) (pt)
By file type (pt)
• .EXE
Files in the following directories and all subs (pt)
• %dirve%
• \\\
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List]
• "c:\\%filename%"="c:\\%filename%:*:Enabled:ips ec"
• "c:\windows\\system32\\ctfmon.exe"="c:\windows\\sy stem32\\ctfmon.exe:*:Enabled:ipsec"
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system]
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Security Center]
Valor anterior:
• "AntiVirusDisableNotify"=dword:00000000
• "FirewallDisableNotify"=dword:00000000
• "UpdatesDisableNotify"=dword:00000000
• "AntiVirusOverride"=dword:00000000
• "FirewallOverride"=dword:00000000
Valor recente:
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
• "UacDisableNotify"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Valor anterior:
• "Hidden"=dword:00000001
Valor recente:
• "Hidden"=dword:00000002
segundo o site da avira
Aliases:
.PE_SALITY (Trend), W32.HLLP.Sality (Symantec), W32/Kookoo (Sophos), Virus.Win32.Sality (Kaspersky)
Tipo: Vírus Win32 parasita encriptado infector de arquivos
Afeta: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP
Introdução
O Win32/Sality é um parasita típico Windows PE-File-Infector.
Após a execução o vírus cria o arquivo “%System%\oledsp32.dll”
Nota: Devido a versões diferentes do vírus, o arquivo DLL pode também ter o nome de SYSLIB32.DLL, ou SYSDLL.DLL
O virus cria um mutex para prevenir múltiplas instâncias do vírus sendo executadas em um único sistema. O vírus obtém o Original Entry Point (OEP) do arquivo infectado do cabeçalho do arquivo, encripta o valor de entrada antigo, e armazena este ponto de entrada calculado na ultima seção encriptada do arquivo, onde o vírus escreve a si mesmo. O Ponto de entrada original é requerido para executar o arquivo após o código virótico ser executado - de outra forma os programas não poderiam ser executados após o vírus. Isto significa que quando o programa infectado é executado o código do vírus é executado primeiro desde que o vírus 'subscreveu' o ponto de entrada original.
Dependendo da versão do vírus ele fornece acesso backdoor ao sistema comprometido como as seguintes características:
Criar e agir como um servidor proxy
Finalizar e excluir softwares relacionados à segurança, como programas antivírus
Excluir bases de dados antivírus, como *.AVC e arquivos de licença
Ocultar o componente de downloads, que pode então excecutar arquivos que foram 'baixados'
Transferência de informações confidencialk para endereços remotos configuráveis (IP’s)
Armazenar teclas digitadas via componente keylogger
Controle baseado em IRC
Notificação dos sistema comprometidos via e-mail para contas de e-mail gratuitas da Rússia.
O vírus se distribui quando os arquivos infectados são executados e checa por acesso a Internet contatando o domínio microsoft.com
Outros Detalhes :
O vírus recebeu atenção especial durante os últimos dias, porque existiram alguns arquivos duplamente infectados, também conhecidos como 'coquetéis', circulando via e-mail. Estes executáveis infectados contém o worm bagle e estão também infectados por este vírus. O vírus contém alguns bugs e pode danificar os arquivos infectados. Algumas das versões deste vírus tem um tempo especial para execução que é ativado a cada dia 10 ou 12 de cada mês e mostra uma caixa de mensagem com informações da versão deste vírus.
Segundo o site do nod32
Data da publicação: 2008/09/22
Data adicionada: 2008/09/22
Origem: N / A
Duração: varia
Tipo: Virus
Subtipo: Win32
DAT necessário: 5389
Descrição
W32/Sality.ao é um vírus parasita que infecta arquivos executáveis Win32 PE.
Ele infecta os arquivos (*. exe e *. scr) no local, de rede e drives removíveis, substituindo o código no ponto de entrada do arquivo original e salvar o código substituído em seu corpo o vírus.
Em seguida, acrescenta o corpo do vírus para o arquivo host.
Indicação da Infecção
# Presença do arquivo (s) mencionado.
# Presença da chave do Registro (s) mencionado.
# Inesperado tráfego de rede para um ou mais do domínio (s) mencionado.
Métodos de infecção
W32/Sality.ao pesquisas unidades locais, removíveis e compartilhamentos de rede para arquivos executáveis do Windows PE para infectar. Ele substitui o ponto de entrada original dos arquivos que infecta com seu código viral e acrescenta-se a última seção da imagem PE.
Alias
PE_SALITY.JER (Trend Micro), Virus.Win32.Sality.aa (Kaspersky), Virus.Win32.Sality.y (Ikarus), Vírus Win32/Sality.AM (Microsoft), W32.Sality.AE (Symantec), W32/Sality-AM (Sophos), W32/Sality.AE Norman (), W32/Sality.AH Panda (), W32/Sality.AK (F-Prot), Win32.KUKU.a (Rising) Win32.Sality, . OG BitDefender (), Win32/Sality.AA EFP ()
segundo o site da mcafee
Vírus W32/Sality.Y
Data em que surgiu: 06/08/2008
Tipo: File infector
Incluído na lista "In The Wild" Sim
Nível de danos: De baixo a médio
Nível de distribuição: Médio
Nível de risco: De médio a elevado
Ficheiro estático: Não
Versão IVDF: 7.00.05.207
Versão do motor antivírus: 8.01.01.018
Meios de transmissão:
• Infects files (pt)
• Rede local
• Unidade de rede
Alias:
• Symantec: W32.Sality.AE
• Mcafee: W32/Sality.gen
• Kaspersky: Virus.Win32.Sality.aa
• TrendMicro: PE_SALITY.JER
• F-Secure: Virus.Win32.Sality.aa
• Sophos: W32/Sality-AM
• Panda: W32/Sality.AK
• VirusBuster: Sality.AQ.Gen
• Bitdefender: Win32.Sality.OG
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Infects files (pt)
• Baixa as definições de segurança
• Altera o registo do Windows
Ficheiros É criado o seguinte ficheiro:
– %SYSDIR%\drivers\%palavras aleatórias%.sys Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Agent.5509
Infecção de ficheiros Infector type: (pt)
Infector embedded (pt)
Self Modification (pt)
Infector polymorphic (pt)
Forma:
Contém uma ligação para outro malware.
Infection Length (pt)
Approximately (pt) 70.000 Bytes
The following files are infected (P) (pt)
By file type (pt)
• .EXE
Files in the following directories and all subs (pt)
• %dirve%
• \\\
Registry (Registo do Windows) O valor da seguinte chave Registo é eliminado:
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Cria a seguinte entrada de forma a fazer um bypass à firewall do Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplicati ons\List]
• "c:\\%filename%"="c:\\%filename%:*:Enabled:ips ec"
• "c:\windows\\system32\\ctfmon.exe"="c:\windows\\sy stem32\\ctfmon.exe:*:Enabled:ipsec"
É adicionada a seguinte chave de registo:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\system]
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001
Altera as seguintes chaves de registo do Windows:
– [HKLM\SOFTWARE\Microsoft\Security Center]
Valor anterior:
• "AntiVirusDisableNotify"=dword:00000000
• "FirewallDisableNotify"=dword:00000000
• "UpdatesDisableNotify"=dword:00000000
• "AntiVirusOverride"=dword:00000000
• "FirewallOverride"=dword:00000000
Valor recente:
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
• "UacDisableNotify"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
Valor anterior:
• "Hidden"=dword:00000001
Valor recente:
• "Hidden"=dword:00000002
segundo o site da avira
Aliases:
.PE_SALITY (Trend), W32.HLLP.Sality (Symantec), W32/Kookoo (Sophos), Virus.Win32.Sality (Kaspersky)
Tipo: Vírus Win32 parasita encriptado infector de arquivos
Afeta: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP
Introdução
O Win32/Sality é um parasita típico Windows PE-File-Infector.
Após a execução o vírus cria o arquivo “%System%\oledsp32.dll”
Nota: Devido a versões diferentes do vírus, o arquivo DLL pode também ter o nome de SYSLIB32.DLL, ou SYSDLL.DLL
O virus cria um mutex para prevenir múltiplas instâncias do vírus sendo executadas em um único sistema. O vírus obtém o Original Entry Point (OEP) do arquivo infectado do cabeçalho do arquivo, encripta o valor de entrada antigo, e armazena este ponto de entrada calculado na ultima seção encriptada do arquivo, onde o vírus escreve a si mesmo. O Ponto de entrada original é requerido para executar o arquivo após o código virótico ser executado - de outra forma os programas não poderiam ser executados após o vírus. Isto significa que quando o programa infectado é executado o código do vírus é executado primeiro desde que o vírus 'subscreveu' o ponto de entrada original.
Dependendo da versão do vírus ele fornece acesso backdoor ao sistema comprometido como as seguintes características:
Criar e agir como um servidor proxy
Finalizar e excluir softwares relacionados à segurança, como programas antivírus
Excluir bases de dados antivírus, como *.AVC e arquivos de licença
Ocultar o componente de downloads, que pode então excecutar arquivos que foram 'baixados'
Transferência de informações confidencialk para endereços remotos configuráveis (IP’s)
Armazenar teclas digitadas via componente keylogger
Controle baseado em IRC
Notificação dos sistema comprometidos via e-mail para contas de e-mail gratuitas da Rússia.
O vírus se distribui quando os arquivos infectados são executados e checa por acesso a Internet contatando o domínio microsoft.com
Outros Detalhes :
O vírus recebeu atenção especial durante os últimos dias, porque existiram alguns arquivos duplamente infectados, também conhecidos como 'coquetéis', circulando via e-mail. Estes executáveis infectados contém o worm bagle e estão também infectados por este vírus. O vírus contém alguns bugs e pode danificar os arquivos infectados. Algumas das versões deste vírus tem um tempo especial para execução que é ativado a cada dia 10 ou 12 de cada mês e mostra uma caixa de mensagem com informações da versão deste vírus.
Segundo o site do nod32
Netto
Comment