Virus.Win32.Sality

شرح کلی

نوع: ویروس (virus)
اسامی بدافزار:
Virus.Win32.Sality
درجه تخریب: زیاد
میزان شیوع: زیاد

ویروس (virus) چیست؟

ویروس‌های کامپیوتری همچون Sality نوعی از بدافزار محسوب می‌شوند که قادر به تکثیر خودکار نمی‌باشند. ویروس‌ها می‌توانند کلیه فایل‌های اجرایی در سیستم و قابل‌دسترس را آلوده نمایند و معمولاً پسوندهای com. و exe. و dll. را آلوده می‌کنند. ویروس‌ها در زمان اجرا به دنبال فایل‌های آلوده نشده (میزبان) می‌گردند و برای تکثیر خود نیازمند فایل میزبان هستند تا کدهای خود را میان کدهای فایل میزبان قرار دهند. سپس با هر بار اجرا شدن برنامه، کد مخرب نیز هم‌زمان اجرا می‌شود.

بدافزار Sality چیست؟

بدافزار Sality در دسته ویروس‌ها قرار می‌گیرد. این ویروس از نوع چندریختی(Polymorph) بوده و با تغییر دادنEntry Point فایل، روند اجرایی را به سمت کد خود که در بخش انتهایی فایل قرار دارد، هدایت می‌کند. ویروس Sality تنها فایل‌های اجرایی را آلوده می‌کند و از طریق همین فایل‌ها منتشر می‌شود. این ویروس به دانلود فایل از لیستی از URL های مشخص‌شده می‌پردازد و در روند اجرایی نرم‌افزارهای امنیتی اختلال ایجاد می‌کند. همچنین از طریق آلوده کردن فایل‌های با پسوند exe و Autorun.inf که در درایوهای قابل‌حمل (فلش، هارد اکسترنال و …) قرار دارند منتشر می‌شود.

توضیحات فنی

علائم آلودگی به ویروس Sality:

  1. از کار اندازی Task Manager
  2. جلوگیری از اینکه سیستم در حالت SafeMode بتواند Boot شود
  3. آلوده کردن درایوهای قابل‌حمل با فایل eobau (با پسوند:shortcut to ms dos progroam) و ساخت فایل autorun.inf به‌صورت مخفی.
  4. تغییر ماهیت فایل های اجرایی سیستم

عملیات مخرب انجام شده توسط ویروس Sality:

  1. دانلود فایل از لیستی از URL های مشخص‌شده درون فایل
  2. اجازه دسترسی از راه دور و تشکیل یک P2P Network
  3. از کار انداختن نرم‌افزارهای ضدویروس و Firewall سیستم
  4. از کار اندازی سرویس‌های امنیتی
  5. ایجاد درایوری با نامی تصادفی برای خاتمه دادن به سرویس‌های امنیتی سیستم در سطح هسته
  6. آلوده نمودن تمام فایل‌های اجرایی موجود بر روی هارد، درایو قابل‌حمل و شبکه
  7. تزریق در پردازه‌های نصب‌شده روی سیستم
  8. کاهش امنیت سیستم با تغییر در رجیستری

روش مقابله و پاک‌سازی سیستم

پادویش این بدافزار را شناسایی و پاک‌سازی می‌کند و مانع آلوده شدن سیستم شما به این بدافزار می شود. پادویش با دارا بودن قابلیت  UMPکه جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از طریق درایو قابل‌حمل انتقال میابند ازجمله بدافزار Sality پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.
چنانچه سیستم شما توسط بدافزار Sality آلوده شده است مراحل زیر را دنبال کنید:

  1. پادویش را بر روی سیستم خود نصب کنید.
  2. درایو قابل‌حمل آلوده را به سیستم وصل کنید.
  3. با استفاده از پادویش درایو قابل‌حمل خود را اسکن کنید تا درایو قابل‌حمل و سیستم آلوده شما پاکسازی شود.توجه: درصورت پاکسازی ناموفق، پاکسازی در بوت بعدی را انتخاب کنید تا پاکسازی به طور کامل انجام شود.
    همچنین می‌توانید به‌عنوان‌ یک راه‌حل موقت از سایت پادویش پاکساز Sality را دانلود کرده و سیستم خود را پاک‌سازی نمایید.