A Sality.AU vírus - hasonlóan az elődeihez - egy nagyon összetett számítógépes kártevő. A vírus ugyanis rengeteg műveletet hajt végre a kiszemelt rendszereken. Ezekkel alapvetően két célja van. Egyrészt igyekszik meggyengíteni a PC-k védelmét, másrészt cserélhető és hálózati meghajtókon próbál terjedni.
Az Isidor Biztonsági Központ közleménye szerint a Sality.AU számos exe és scr kiterjesztésű állomány megfertőzése után nekilát a Windows regisztrációs adatbázisának módosításához. Ezzel hatástalanítja a Windows beépített tűzfalát, elérhetetlenné teszi a regisztrációs adatbázis szerkesztőjét, módosítja a fájlmegjelenítési beállításokat valamint lehetetlenné teszi az operációs rendszer csökkentett módban történő indítását. Ezt követően kikapcsol egyes monitorozó szolgáltatásokat, és letiltja a Windows Rendszerhelyreállító funkcióját.
A Sality.AU további veszélye, hogy a számítógépeken futó biztonsági alkalmazásokat is megpróbálja leállítani, amivel jelentősen képes meggyengíteni a PC-k védelmét. Arról is gondoskodik, hogy a Windows Biztonsági Központja ne riasszon a védelmi alkalmazások leállításakor.
Amikor a Sality.AU vírus elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehoz egy mutexet annak érdekében, hogy egyszerre csak egy példányban fusson a rendszeren.
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értéket:
HKCU\SOFTWARE\bntrp\session="[véletlenszerű karakterek]"
3. A system.ini állományba bemásol egy "[fje32a1s]" sort.
4. Létrehozza a következő állományt:
%Temp%\[véletlenszerű fájlnév].exe
5. Megpróbál minden létező folyamatot megfertőzni:
6. Minden olyan .exe és .scr kiterjesztésű fájlt megfertőz, amelyek neve szerepel a következő bejegyzésekben:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
7. További, exe és scr kiterjesztésű állományokat fertőz meg.
8. Minden cserélhető és hálózati meghajtóra felmásolja a következő fájlokat:
[meghajtó betűjele]:\[véletlenszerű karakterek].pif
[meghajtó betűjele]:\[véletlenszerű karakterek].exe
[meghajtó betűjele]:\autorun.inf
9. Csatlakozik egy távoli szerverhez.
10. Létrehozza a következő állományt:
%SystemRoot%\system32\drivers\amsint32.sys
11. A regisztrációs adatbázisból kitörli az alábbi kulcsokat:
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Ezzel megakadályozza, hogy a Windowst csökkentett módban el lehessen indítani.
12. Megpróbálja blokkolni a biztonsági szoftverek SSDT-n keresztüli műveletvégzését.
13. Letörli az alábbi kiterjesztések valamelyikével rendelkező állományokat.
.AVC
.VDB
14. Megpróbálja leállítani a biztonsági szoftverekhez tartozó folyamatokat.
15 .A regisztrációs adatbázisban módosítja a következő értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools="1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Hidden="2"
16. Hatástalanítja a Windows beépített tűzfalát az alábbiak szerint:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"[fájlnév]:*:enabled:ipsec"=[fájlnév]
17. A regisztrációs adatbázisban módosítja a következő értékeket:
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride="1"
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride="1"
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify="1"
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride="1"
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify="1"
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall="0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline="0"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA="0"
18. Interneten keresztül fájlokat tölt le, amelyeket dekódol, majd lefuttat.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.