Sality er en familie af filer, der inficerer ondsindet software, der påvirker Windows-computere ved at sprede infektioner gennem EXE- og SCR-filer.
Sality, som måske har startet i Rusland oprindeligt, har udviklet sig meget gennem årene, så forskellige variationer af malware udviser forskellige egenskaber. Men de fleste Sality-varianter er orme, fordi de bruger en form for autorun-funktionalitet til at inficere eksekverbare filer via flytbare eller opdagelige drev.
Nogle er endda Sality botnets, der deltager i inficerede maskiner i sit eget P2P-netværk, så computere som helhed hjælper med at lette ting som at stjæle private data, revne adgangskoder, sende spam og meget mere.
Sality-viruset kan også indeholde en trojansk downloader, der installerer yderligere malware via internettet, og en keylogger, der overvåger og registrerer tastetryk.
Bemærk: Nogle antivirusprogrammer henviser til Sality-virusserne med andre navne som SaILoad, SaliCode, Kookoo og Kukacka.
Hvordan det virker
Som nævnt ovenfor inficerer Sality malware eksekverbare filer på den inficerede computer.
De fleste versioner af malware sætter en særlig DLL-fil på computeren i %SYSTEM% mappe og kan kalde det "wmdrtc32.dll" eller, for den komprimerede version, "wmdrtc32.dl_."
Men ikke alle varianter af Sality-viruset vil bruge en DLL-fil på denne måde. Nogle lægger koden direkte i hukommelsen, og DLL-filen findes ikke overalt i de aktuelle diskfiler.
Andre kan endda gemme en enhedsdriver i % SYSTEM% drivers folder. Hvad der gør dette til at være vanskeligt, er at det kan gemmes med et tilfældigt filnavn, så hvis din antivirus software kun læser filnavne for at kontrollere virusser og ikke filens indhold, er der en god chance for, at den ikke vil fange Sality virus .
Opdateringer til Sality-malware overføres via HTTP via decentrale lister over webadresser. Når inficeret, skal malware kun anmode om opdateringer bag kulisserne for at transformere og vokse alene, for at hente nye filer for at inficere andre computere.
Tegn på infektion
Det er vigtigt at være opmærksom på symptomerne på en Sality virus infektion - hvad din computer kan gøre, eller hvordan det kan udføre, når Sality virus er til stede.
Som med meget andet malware, kan Sality gøre noget af følgende:
- Deaktiver antivirusprogrammer og forhindre adgang til visse antivirus- og sikkerhedswebsteder.
- Forhindre opstart i sikker tilstand.
- Fjern sikkerhedsrelaterede filer, processer og / eller tjenester.
- Gem en CMD-, PIF- og / eller EXE-fil til roden af registrerbare drev sammen med en autorun.inf-fil, der indeholder instruktioner til at indlæse de droppede filer, når drevet er tilgængeligt.
- Send spam til dine e-mail kontakter ved at få adgang til din e-mail-klient adressebog.
- Slet filer, der indeholder en bestemt filtypenavn.
Sådan slettes
Den bedste måde at forhindre en Sality virus infektion på er at holde computeren opdateret med de nyeste patches og sikkerhedsdefinitioner. Brug Windows Update og hold din antivirusprogram opdateret for at hjælpe med at afværge dette angreb.
Hvis du allerede ved, at du har Sality-viruset, kan du slippe af med det på en lignende måde. Scan din computer for malware med et opdateret og kompatibelt antivirusprogram. Du har måske held og lykke ved hjælp af en spyware remover til at fange Sality viruset, da det fungerer som spyware også. Hvis disse ikke fungerer, eller du ikke har regelmæssig adgang til Windows, skal du bruge et bootbart antivirusprogram i stedet.
Nogle antivirusleverandører indeholder et specielt værktøj beregnet til at håndtere Sality-viruset. For eksempel tilbyder AVG et populært gratis antivirusprogram, men de inkluderer også Sality Fix, som du kan downloade gratis for at fjerne Sality virus automatisk. Kaspersky lader dig bruge det gratis SalityKiller værktøj.
Hvis en fil er fundet at være inficeret med Sality, skal du tillade softwaren at rense filen. Hvis der findes anden malware, skal du prøve at slette virussen eller tage den anbefalede handling af scanneren.
Nogle antivirusprogrammer kan muligvis ikke opdage Sality-viruset. Hvis du har mistanke om, at du har viruset, men din sikkerhedssoftware ikke finder det, skal du prøve at uploade det til VirusTotal for at foretage en online-scanning med forskellige scanningsmotorer.
En anden mulighed er at manuelt slette virusfilerne ved at søge på computeren med et filsøgningsværktøj som Alt. Der er dog en god chance for, at filerne er låst fra brug og ikke kan fjernes på en normal måde. Antivirusprogrammer kan normalt undgå dette ved at planlægge malware til sletning, når computeren er slukket.
Hvad skal man gøre næste
Hvis du er sikker på at Sality-viruset er fjernet, bør du overveje at deaktivere autorun for at forhindre en geninfektion via USB-drev.
Det er også vigtigt at ændre adgangskoderne til alle online-konti, du brugte i løbet af infektionsperioden. Hvis Sality-viruset logger dine tastetryk, så er der en god chance for, at den registrerede dine bankoplysninger, social media-legitimationsoplysninger, email-adgangskode osv. Ændring af disse adgangskoder ( efter infektionen er væk ) og kontrol af dine konti for tyveri er et vigtigt skridt.
Installer et altid opdateret, brugervenligt antivirusprogram, så det er mindre sandsynligt, at dette vil ske igen. Sørg for, at det kan kontrollere flytbare drev til malware og konfigurere planlagte scanninger for jævnligt at tjekke for malware af alle typer, ikke kun for Sality virus.
