Sality - это семейство вредоносных программ, заражающих файлы, которые влияют на компьютеры Windows, распространяя заражения через файлы EXE и SCR.
Sality, который, возможно, начался в России изначально, сильно изменился за эти годы, поэтому различные варианты вредоносного ПО проявляют разные характеристики. Однако большинство вариантов Sality являются червями, поскольку они используют некоторую форму функций автозапуска для заражения исполняемых файлов с помощью съемных или обнаруживаемых дисков.
Некоторые из них также являются ботнеями Sality, которые присоединяют зараженные компьютеры к собственной сети P2P, так что компьютеры в целом помогают облегчить такие вещи, как кража личных данных, взлома паролей, отправка спама и многое другое.
Вирус Sality может также включать загрузчик троянских программ, который устанавливает дополнительные вредоносные программы через Интернет, и кейлоггер, который контролирует и записывает нажатия клавиш.
Замечания: Некоторые антивирусные программы относятся к вирусам Sality другими именами, такими как SaILoad, SaliCode, Kookoo и Kukacka.
Как это устроено
Как упоминалось выше, вредоносное ПО Sality заражает исполняемые файлы на зараженном компьютере.
Большинство версий вредоносного ПО помещают специальный DLL-файл на компьютер в % System% и может называть его «wmdrtc32.dll» или, для сжатой версии, «wmdrtc32.dl_».
Однако не все варианты вируса Sality будут использовать DLL-файл таким образом. Некоторые загружают код непосредственно в память, а DLL-файл не будет найден нигде в реальных файлах диска.
Другие могут даже хранить драйвер устройства в % System% драйверы папка. Что делает это сложным, так это то, что он может храниться со случайным именем файла, поэтому, если ваше антивирусное программное обеспечение только считывает имена файлов для проверки на наличие вирусов, а не на содержимое файла, есть хорошая вероятность, что он не поймает вирус Sality ,
Обновления вредоносного ПО Sality передаются через HTTP через децентрализованные списки URL-адресов. После заражения вредоносное ПО необходимо только запрашивать обновления за кулисами, чтобы преобразовывать и расти самостоятельно, чтобы загружать новые файлы для заражения других компьютеров.
Признаки заражения
Важно помнить о симптомах вирусной инфекции Sality - о том, что может сделать ваш компьютер или как он может проявляться, когда присутствует вирус Sality.
Как и в случае с большим количеством других вредоносных программ, Sality может выполнить одно из следующих действий:
- Отключите антивирусное программное обеспечение и запретите доступ к определенным веб-сайтам для защиты и защиты.
- Запретить загрузку в безопасном режиме.
- Удалите связанные с безопасностью файлы, процессы и / или службы.
- Храните файлы CMD, PIF и / или EXE в корень обнаруживаемых дисков вместе с файлом autorun.inf, который содержит инструкции по загрузке отброшенных файлов при доступе к диску.
- Отправьте спам своим контактам электронной почты, обратившись к адресной книге вашего почтового клиента.
- Удалите файлы, которые содержат определенное расширение файла.
Как удалить
Лучший способ предотвратить заражение вирусом Sality - сохранить ваш компьютер в актуальном состоянии с последними исправлениями и определениями безопасности. Используйте Центр обновления Windows и обновите антивирусное программное обеспечение, чтобы предотвратить эту атаку.
Если вы уже знаете, что у вас есть вирус Sality, вы можете избавиться от него аналогичным образом. Сканируйте свой компьютер на наличие вредоносных программ с обновленной и способной антивирусной программой. Возможно, вам удастся использовать средство для удаления шпионских программ, чтобы поймать вирус Sality, поскольку он также работает как шпионское ПО. Если они не работают или у вас нет обычного доступа к Windows, вместо этого используйте загрузочную антивирусную программу.
Некоторые поставщики антивирусов включают специальный инструмент, специально предназначенный для борьбы с вирусом Sality. Например, AVG предлагает популярную бесплатную антивирусную программу, но они также включают Sality Fix, которые вы можете скачать бесплатно, чтобы автоматически удалить вирус Sality. Kaspersky позволяет использовать бесплатный инструмент SalityKiller.
Если обнаружено, что файл заражен Sality, разрешите программе очищать файл. Если обнаружено другое вредоносное ПО, попробуйте удалить вирус или предпринять рекомендуемые действия с помощью сканера.
Некоторые антивирусные программы не могут обнаружить вирус Sality. Если вы подозреваете, что у вас есть вирус, но ваше программное обеспечение безопасности не находит его, попробуйте загрузить его в VirusTotal для онлайн-сканирования с различными механизмами сканирования.
Другой вариант - вручную удалить вирусные файлы, выполнив поиск на компьютере с помощью инструмента поиска файлов, такого как «Все». Однако есть хорошая вероятность, что файлы заблокированы от использования и не могут быть удалены обычным способом. Обычно антивирусные программы могут избежать этого, планируя удаление вредоносного ПО при выключении компьютера.
Что делать дальше
Если вы уверены, что вирус Sality удален, вы должны рассмотреть возможность отключения автозапуска для предотвращения повторного заражения с помощью USB-накопителей.
Также важно изменить пароли на любые учетные записи, которые вы использовали во время заражения. Если вирус Sality регистрировал ваши нажатия клавиш, то есть хороший шанс, что он записал вашу банковскую информацию, учетные записи в социальных сетях, пароль электронной почты и т. Д. Изменение этих паролей ( после того, как инфекция исчезла ) и проверка ваших счетов за кражу - важный шаг.
Установите постоянно действующую, всегда обновляющуюся и простую в использовании антивирусную программу, так что это менее вероятно, что это повторится. Убедитесь, что он может проверять съемные диски на наличие вредоносных программ и настраивать плановые проверки для периодической проверки наличия вредоносного ПО всех типов, а не только для вируса Sality.
