A Sality vírus megértése és annak törlése
A Sality egy olyan fájl-fertőzött rosszindulatú szoftvercsalád , amely a Windows számítógépeit a fertőzések EXE és SCR fájlokon keresztüli terjesztésével érinti.
A Sality, amely eredetileg Oroszországban indult, sokat fejlődött az évek során, így a rosszindulatú programok különböző változatai különböző jellemzőkkel rendelkeznek. A legtöbb Sality változat azonban férgek, mivel valamilyen autorunfunkciót használnak a végrehajtható fájlok megfertőzésére eltávolítható vagy észlelhető meghajtókon keresztül.
Vannak olyan Sality botnetek is, amelyek a fertőzött gépekhez csatlakoznak a saját P2P hálózathoz, így a számítógépek egészében megkönnyítik a személyes adatok lopásának, a jelszavak áthúzását, spamszolgáltatást és így tovább.
A Sality vírus tartalmazhat egy trójai letöltőt is, amely további kártékony programokat telepít az interneten keresztül, valamint egy keylogger, amely nyomon követi és rögzíti a billentyűleütéseket.
Megjegyzés: Egyes víruskereső programok a Sality vírusokat más nevekkel, például a SaILoad, a SaliCode, a Kookoo és a Kukacka használják.
Hogyan működik
Mint már említettük, a Sality malware megfertőzheti a futtatható fájlokat a fertőzött számítógépen.
A rosszindulatú programok legtöbb verziója egy speciális DLL- fájlt helyez a számítógépre a % SYSTEM% mappában, és "wmdrtc32.dll" -nek, vagy a "wmdrtc32.dl_" tömörített verziónak nevezheti.
Azonban a Sality vírus nem minden változata egy DLL fájlt használ ilyen módon. Néhány betölti a kódot közvetlenül a memóriába, és a DLL fájl nem lesz megtalálható a tényleges lemezfájlok között.
Mások esetleg tárolhatják az illesztőprogramot a % SYSTEM% \ drivers mappában. Mi okozza ezt a trükkös az, hogy tárolható egy véletlenszerű fájlnévvel, tehát ha a víruskereső szoftver csak fájlneveket olvas a vírusok ellenőrzésére, és nem a fájl tartalmára, jó esély van arra, hogy nem fogja elkapni a Sality vírust .
A Sality rosszindulatú szoftverek frissítései HTTP-n keresztül táplálkoznak az URL-ek decentralizált listáján keresztül. Miután fertőzött, a rosszindulatú szoftvereknek csak a színfalak mögött kell frissítéseket kérnie ahhoz, hogy önmagukban átalakuljanak és növekedjenek, új fájlok letöltésére más számítógépek megfertőzésére.
A fertőzés jelei
Fontos, hogy tisztában legyen a Sality vírusfertőzés tüneteivel - mit tehet a számítógéped, vagy hogyan működhet, ha a Sality vírus jelen van.
Mint sok más rosszindulatú program esetében, a Sality a következők bármelyikét teheti:
- Kapcsolja ki a víruskereső szoftvereket, és megakadályozza a hozzáférést bizonyos víruskereső és biztonsági webhelyekhez.
- Megakadályozhatja a biztonságos módban történő indítást.
- Távolítsa el a biztonsággal kapcsolatos fájlokat, folyamatokat és / vagy szolgáltatásokat .
- Mentse el a CMD, PIF és / vagy EXE fájlt a felfedezhető meghajtók gyökérkönyvébe , valamint egy autorun.inf fájlt, amely utasításokat tartalmaz arra, hogy betöltse a leesett fájlokat a meghajtó elérésekor.
- Levélszemét küldése az e-mail címére, az e-mail címzett címjegyzékének elérésével.
- Törölje a fájl kiterjesztését tartalmazó fájlokat.
Hogyan kell törölni
A Sality vírusfertőzés megelőzésének legjobb módja a számítógép naprakészen tartása a legújabb javításokkal és biztonsági definíciókkal. Használja a Windows Update programot, és frissítse a víruskereső szoftverét, hogy segítsen megakadályozni a támadást.
Ha már tudod, hogy a Sality vírusod van, hasonló módon megszabadulhat tőle. Szkennelje a számítógépét rosszindulatú programok esetén egy frissített és képes víruskereső szoftverrel . Lehet, hogy szerencséje van egy kémprogram-eltávolító segítségével, hogy elkapja a Sality vírust, mivel spywareként is működik. Ha ezek nem működnek, vagy nem rendelkezik rendszeres Windows-hozzáféréssel, használjon rendszerindító víruskereső programot .
Néhány antivírus-gyártó egy speciális eszköz, amely kifejezetten a Sality vírus kezelésére irányul. Például az AVG népszerű ingyenes víruskereső programot kínál, de tartalmaz még a Sality Fixet is, amelyet ingyen letölthet a Sality vírus automatikus eltávolítására. A Kaspersky segítségével az ingyenes SalityKiller eszközt használhatja.
Ha egy fájlt észlel, hogy megfertőzte a Sality-t, engedje meg a szoftvernek, hogy tisztítsa meg a fájlt. Ha más rosszindulatú programot talál, akkor próbálja meg törölni a vírust vagy a lapolvasó által ajánlott műveletet végrehajtani.
Egyes víruskereső programok esetleg nem észlelik a Sality vírust. Ha gyanítod, hogy van a vírusod, de a biztonsági szoftvered nem találja meg, próbáld feltölteni a VirusTotalba, hogy végezzen online szkennelést különböző szkennelési motorokkal.
Egy másik lehetőség a vírusfájlok kézi törlése a számítógépen keresztüli kereséssel, egy olyan fájlkeresési eszközzel, mint a Minden. Van azonban egy jó esély arra, hogy a fájlok használaton kívüliek , és nem távolíthatók el normális módon. A víruskereső programok általában elkerülhetik ezt, ha a rosszindulatú programokat a számítógép leállításakor törölni kell.
Mi legyen a következő
Ha biztos benne, hogy a Sality vírus eltávolításra került, fontolja meg az autorun letiltását az USB- meghajtókon keresztüli újbóli fertőzés megelőzésére.
Fontos továbbá a jelszavak megváltoztatása olyan online fiókokra, amelyeket a fertőzés idején használtak. Ha a Sality vírus bejelentette a billentyűleütéseket, akkor jó eséllyel rögzítheti a bankadatait, a közösségi médiatényleveleket, az e-mail jelszavát stb. A jelszavak megváltoztatása ( miután a fertőzés megszűnt ), és a fiókok ellenőrzése a lopáshoz fontos lépés .
Telepítsen egy folyamatosan frissítendő, könnyen használható víruskereső programot, így kevésbé valószínű, hogy ez újra megtörténik. Győződjön meg róla, hogy ellenőrizheti az eltávolítható meghajtókat a rosszindulatú programok számára, és ütemezett vizsgálatokat is beállít, hogy rendszeresen ellenőrizze az összes típusú rosszindulatú programot, ne csak a Sality vírusra.