Sality är en familj med filinfekterande skadlig programvara som påverkar Windows-datorer genom att sprida infektioner genom EXE och SCR-filer.
Sality, som kan ha börjat i Ryssland ursprungligen, har utvecklats mycket under åren, så olika variationer av malware uppvisar olika egenskaper. De flesta Sality-varianter är dock maskar genom att de använder någon form av autorunfunktionalitet för att infektera körbara filer via flyttbara eller upptäckbara enheter.
Vissa är även Sality botnets som går med smittade maskiner till sitt eget P2P-nätverk, så att datorerna som helhet hjälper till att stela privata data, spricka lösenord, skicka spam och mer.
Sality-viruset kan också innehålla en trojan downloader som installerar ytterligare skadlig kod via internet och en keylogger som övervakar och registrerar tangenttryckningar.
Notera: Vissa antivirusprogram hänvisar till Sality-virusen med andra namn som SaILoad, SaliCode, Kookoo och Kukacka.
Hur det fungerar
Som nämnts ovan infekterar Sality malware körbara filer på den infekterade datorn.
De flesta versioner av skadlig programvara lägger en särskild DLL-fil på datorn i %SYSTEMET% mapp och kan kalla det "wmdrtc32.dll" eller, för den komprimerade versionen, "wmdrtc32.dl_."
Men inte alla varianter av Sality-viruset kommer att använda en DLL-fil på detta sätt. Vissa laddar koden direkt i minnet, och DLL-filen kommer inte att hittas någonstans inom de faktiska diskfilerna.
Andra kan till och med lagra en enhetsdrivrutin i % SYSTEM% drivers mapp. Det som gör det här är knepigt att det kan lagras med ett slumpmässigt filnamn, så om din antivirusprogram endast läser filnamn för att söka efter virus och inte filens innehåll, finns det en god chans att det inte kommer att fånga Sality-viruset .
Uppdateringar till malware i Sality matas via HTTP via decentraliserade listor med webbadresser. En gång infekterad behöver malware bara begära uppdateringar bakom kulisserna för att omvandla och växa på egen hand, för att ladda ner nya filer för att infektera andra datorer.
Tecken på infektion
Det är viktigt att vara medveten om symtomen på en Sality-virusinfektion - vad din dator kan göra eller hur den kan utföra när Sality-viruset är närvarande.
Som med mycket annan skadlig kod kan Sality göra något av följande:
- Inaktivera antivirusprogram och förhindra åtkomst till vissa webbplatser för antivirus och säkerhet.
- Förhindra uppstart i säkert läge.
- Ta bort säkerhetsrelaterade filer, processer och / eller tjänster.
- Spara en CMD-, PIF- och / eller EXE-fil till roten av upptäckbara enheter, tillsammans med en autorun.inf-fil som innehåller instruktioner för att ladda de tappade filerna när enheten är åtkomst.
- Skicka skräppost till dina e-postkontakter genom att komma åt din e-postklients adressbok.
- Ta bort filer som innehåller en viss filtillägg.
Hur man tar bort
Det bästa sättet att förhindra en Sality virusinfektion är att hålla datorn uppdaterad med de senaste patcherna och säkerhetsdefinitionerna. Använd Windows Update och behåll din antivirusprogram uppdaterad för att hjälpa till att förhindra denna attack.
Om du redan vet att du har Sality-viruset, kan du bli av med det på ett liknande sätt. Skanna din dator för skadlig programvara med ett uppdaterat och kompetent antivirusprogram. Du kanske har tur att använda en spyware remover för att fånga Sality-viruset eftersom det fungerar som spionprogram också. Om de inte fungerar eller du inte har regelbunden åtkomst till Windows, använd ett startbart antivirusprogram istället.
Vissa antivirusleverantörer innehåller ett speciellt verktyg som är avsedd speciellt för att hantera Sality-viruset. Till exempel erbjuder AVG ett populärt gratis antivirusprogram, men de innehåller även Sality Fix som du kan ladda ner gratis för att automatiskt ta bort Sality-viruset. Kaspersky låter dig använda det kostnadsfria verktyget SalityKiller.
Om en fil har visat sig infekterad med Sality, tillåter programmet att rengöra filen. Om annan malware hittas, försök ta bort viruset eller ta den rekommenderade åtgärden av skannern.
Vissa antivirusprogram kanske inte upptäcker Sality-viruset. Om du misstänker att du har viruset, men din säkerhetsprogramvara inte hittar det, försök ladda upp det till VirusTotal för att göra en online-skanning med olika skanningsmotorer.
Ett annat alternativ är att manuellt radera virusfilerna genom att söka på datorn med ett filsökverktyg som Everything. Det finns dock en bra chans att filerna är låsta från användning och inte kan tas bort på normalt sätt. Antivirusprogram kan vanligtvis undvika detta genom att schemalägga skadlig programvara för radering när datorn stängs av.
Vad göra här näst
Om du är säker på att Sality-viruset har tagits bort, bör du överväga att inaktivera autorun för att förhindra en återinfektion via USB-enheter.
Det är också viktigt att ändra lösenord till alla onlinekonton som du använde under infektionstiden. Om Sality-viruset loggade på ditt tangenttryck, så finns det en bra chans att det spelar in din bankinformation, sociala medier-referenser, e-postlösenord etc. Ändra dessa lösenord ( efter infektionen är borta ) och kontrollera dina konton för stöld är ett viktigt steg.
Installera ett alltid antivirusprogram som alltid är uppdaterat, så att det är mindre troligt att det kommer att hända igen. Se till att det kan kontrollera flyttbara enheter för skadlig programvara och konfigurera schemalagda skanningar för att regelbundet söka efter skadlig kod av alla typer, inte bara för Sality-viruset.
