Win32.Sector.5
(PE_SALITY.EK, Virus.Win32.Sality.aa, PE_SALITY.M, New Win32.s, New Malware.ew, Trojan.Agent.AINJ, Virus.Win32.Sality.y, Win32.Sality.OE, PE_SALITY.EN, Win32.Sality.OG, Virus.Win32.Sality.kaka, W32/Sality, Virus.Win32.Sality.2, Win32.Sality.NX, Virus.Win32.Sality.z, Embedded.Win32.Trojan-Downloader.Sality.kaka, Mal_Sality, Win32/Tanatos.A, Win32/Sality.AM, Virus:Win32/Sality.AM, W32/Sality.Y)
Добавлен в вирусную базу Dr.Web: 2008-04-17 19:41:10


Тип вируса: Файловый вирус

Уязвимые ОС: Windows

Размер: 57 344 байт

Упакован: —


Техническая информация



При своём запуске переводит Internet Explorer в режим online:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion
\Internet Settings\
GlobalUserOffline=0

Отключает User Access Control в Windows Vista:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion
\policies\system
EnableLUA=0

Прописывает себя в список разрешенных для доступа в сеть в WindowsFirewall
SYSTEM\CurrentControlSet\Services\SharedAccess\Par ameters
\FirewallPolicy\StandardProfile\AuthorizedApplicat ions\List
"c:\virus.exe"="c:\virus.exe:*:Enabled:ipsec"

Для хранение своих настроек создаёт ключ в реестре:
HKEY_CURRENT_USER\Software\<имя пользователя>914

Добавляет в system.ini случайное значение
[MCIDRV_VER]
DEVICEMB=116402342188

Внедряет свой код в память всех активных процессов.

Удаляет ветки реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control \SafeBoot
после этого загрузка в Безопасный режим невозможна.

Заражает файлы с расширением .exe и .scr на всех доступных дисках, и сетевых ресурсах для ускорения распространения заражает файлы прописаные в автозагрузку и файлы наиболее часто запускаемые в системе.

Не заражает системные файлы и файлы в папках содержащих в имени "SYSTEM" или "AHEAD".

В процессе сканирования дисков удаляет файлы *.vdb, *.avc, drw*.key.
Кроме того, удаляет файлы и процессы с именами содержащими:

"_AVPM."
"A2GUARD."
"AAVSHIELD."
"AVAST"
"ADVCHK."
"AHNSD."
"AIRDEFENSE"
"ALERTSVC"
"ALMON."
"ALOGSERV"
"ALSVC."
"AMON."
"ANTI-TROJAN."
"AVZ."
"ANTIVIR"
"ANTS."
"APVXDWIN."
"ARMOR2NET."
"ASHAVAST."
"ASHDISP."
"ASHENHCD."
"ASHMAISV."
"ASHPOPWZ."
"ASHSERV."
"ASHSIMPL."
"ASHSKPCK."
"ASHWEBSV."
"ASWUPDSV."
"ATCON."
"ATUPDATER."
"ATWATCH."
"AUPDATE."
"AUTODOWN."
"AUTOTRACE."
"AUTOUPDATE."
"AVCIMAN."
"AVCONSOL."
"AVENGINE."
"AVGAMSVR."
"AVGCC."
"AVGCC32."
"AVGCTRL."
"AVGEMC."
"AVGFWSRV."
"AVGNT."
"AVGNTDD"
"AVGNTMGR"
"AVGSERV."
"AVGUARD."
"AVGUPSVC."
"AVINITNT."
"AVKSERV."
"AVKSERVICE."
"AVKWCTL."
"AVP."
"AVP32."
"AVPCC."
"AVPM."
"AVAST"
"AVSCHED32."
"AVSYNMGR."
"AVWUPD32."
"AVWUPSRV."
"AVXMONITOR9X."
"AVXMONITORNT."
"AVXQUAR."
"BACKWEB-4476822."
"BDMCON."
"BDNEWS."
"BDOESRV."
"BDSS."
"BDSUBMIT."
"BDSWITCH."
"BLACKD."
"BLACKICE."
"CAFIX."
"CCAPP."
"CCEVTMGR."
"CCPROXY."
"CCSETMGR."
"CFIAUDIT."
"CLAMTRAY."
"CLAMWIN."
"CLAW95."
"CLAW95CF."
"CLEANER."
"CLEANER3."
"CLISVC."
"CMGRDIAN."
"CUREIT"
"DEFWATCH."
"DOORS."
"DRVIRUS."
"DRWADINS."
"DRWEB32W."
"DRWEBSCD."
"DRWEBUPW."
"ESCANH95."
"ESCANHNT."
"EWIDOCTRL."
"EZANTIVIRUSREGISTRATIONCHECK."
"F-AGNT95."
"FAMEH32."
"FAST."
"FCH32."
"FILEMON"
"FIRESVC."
"FIRETRAY."
"FIREWALL."
"FPAVUPDM."
"F-PROT95."
"FRESHCLAM."
"FRW."
"FSAV32."
"FSAVGUI."
"FSBWSYS."
"F-SCHED."
"FSDFWD."
"FSGK32."
"FSGK32ST."
"FSGUIEXE."
"FSM32."
"FSMA32."
"FSMB32."
"FSPEX."
"FSSM32."
"F-STOPW."
"GCASDTSERV."
"GCASSERV."
"GIANTANTISPYWAREMAIN."
"GIANTANTISPYWAREUPDATER."
"GUARDGUI."
"GUARDNT."
"HREGMON."
"HRRES."
"HSOCKPE."
"HUPDATE."
"IAMAPP."
"IAMSERV."
"ICLOAD95."
"ICLOADNT."
"ICMON."
"ICSSUPPNT."
"ICSUPP95."
"ICSUPPNT."
"IFACE."
"INETUPD."
"INOCIT."
"INORPC."
"INORT."
"INOTASK."
"INOUPTNG."
"IOMON98."
"ISAFE."
"ISATRAY."
"ISRV95."
"ISSVC."
"KAV."
"KAVMM."
"KAVPF."
"KAVPFW."
"KAVSTART."
"KAVSVC."
"KAVSVCUI."
"KMAILMON."
"KPFWSVC."
"KWATCH."
"LOCKDOWN2000."
"LOGWATNT."
"LUALL."
"LUCOMSERVER."
"LUUPDATE."
"MCAGENT."
"MCMNHDLR."
"MCREGWIZ."
"MCUPDATE."
"MCVSSHLD."
"MINILOG."
"MYAGTSVC."
"MYAGTTRY."
"NAVAPSVC."
"NAVAPW32."
"NAVLU32."
"NAVW32."
"NOD32."
"NEOWATCHLOG."
"NEOWATCHTRAY."
"NISSERV"
"NISUM."
"NMAIN."
"NOD32"
"NORMIST."
"NOTSTART."
"NPAVTRAY."
"NPFMNTOR."
"NPFMSG."
"NPROTECT."
"NSCHED32."
"NSMDTR."
"NSSSERV."
"NSSTRAY."
"NTRTSCAN."
"NTXCONFIG."
"NUPGRADE."
"NVC95."
"NVCOD."
"NVCTE."
"NVCUT."
"NWSERVICE."
"OFCPFWSVC."
"OUTPOST."
"PAV."
"PAVFIRES."
"PAVFNSVR."
"PAVKRE."
"PAVPROT."
"PAVPROXY."
"PAVPRSRV."
"PAVSRV51."
"PAVSS."
"PCCGUIDE."
"PCCIOMON."
"PCCNTMON."
"PCCPFW."
"PCCTLCOM."
"PCTAV."
"PERSFW."
"PERTSK."
"PERVAC."
"PNMSRV."
"POP3TRAP."
"POPROXY."
"PREVSRV."
"PSIMSVC."
"QHM32."
"QHONLINE."
"QHONSVC."
"QHPF."
"QHWSCSVC."
"RAVMON."
"RAVTIMER."
"REALMON."
"REALMON95."
"RFWMAIN."
"RTVSCAN."
"RTVSCN95."
"RULAUNCH."
"SAVADMINSERVICE."
"SAVMAIN."
"SAVPROGRESS."
"SAVSCAN."
"SCAN32."
"SCANNINGPROCESS."
"CUREIT."
"SDHELP."
"SHSTAT."
"SITECLI."
"SPBBCSVC."
"SPHINX."
"SPIDERML."
"SPIDERNT."
"SPIDERUI."
"SPYBOTSD."
"SPYXX."
"SS3EDIT."
"STOPSIGNAV."
"SWAGENT."
"SWDOCTOR."
"SWNETSUP."
"SYMLCSVC."
"SYMPROXYSVC."
"SYMSPORT."
"SYMWSC."
"SYNMGR."
"TAUMON."
"TBMON."
"AVAST"
"TCA."
"TCM."
"TDS-3."
"TEATIMER."
"TFAK."
"THAV."
"THSM."
"TMAS."
"TMLISTEN."
"TMNTSRV."
"TMPFW."
"TMPROXY."
"TNBUTIL."
"TRJSCAN."
"UP2DATE."
"VBA32ECM."
"VBA32IFS."
"VBA32LDR."
"VBA32PP3."
"VBSNTW."
"VCHK."
"VCRMON."
"VETTRAY."
"VIRUSKEEPER."
"VPTRAY."
"VRFWSVC."
"VRMONNT."
"VRMONSVC."
"VRRW32."
"VSECOMR."
"VSHWIN32."
"VSMON."
"VSSERV."
"VSSTAT."
"WATCHDOG."
"WEBPROXY."
"WEBSCANX."
"WEBTRAP."
"WGFE95."
"WINAW32."
"WINROUTE."
"WINSS."
"WINSSNOTIFY."
"WRADMIN."
"WRCTRL."
"XCOMMSVR."
"ZATUTOR."
"ZAUINST."
"ZLCLIENT."
"ZONEALARM."

Завершает приложения, окна которых содержат подстроки "dr.web" и "cureit".

Cкачивает и запускает другие вредоносные программы из сети.

В зависимости от модификации может при помощи своего драйвера блокировать доступ к сайтам содержащим в названии:

"kaspersky"
"eset.com"
"f-secure."
"mcafee."
"symantec."
"etrust.com"
"trendmicro."
"sophos."
"virustotal."
"agnmitum."
"pandasoftware."
"bitdefender."
"spywareguide."
"windowsecurity."
"virusscan."
"ewido."
"spywareinfo."
"onlinescan."
"drweb."
"cureit."


Информация по восстановлению системы

Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
Просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".
Восстановить Безопасный режим с использованием файлов экспорта соответствующих ветвей реестра, взятых с заведомо неинфицированного компьютера.

Рекомендации по восстановлению системы
Загрузить ОС Windows в Безопасном режиме (Safe Mode).
Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие «Лечить».
Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик — Свойства почтового ящика — Файлы и каталоги — Хранить присоединенные файлы в отдельном каталоге (Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory)