mercoledì 10 novembre 2010

Win32.Sality.OG







Alias: Win32/Sality.AH (Panda, McAfee), Win32/Sality.Y (Avira), Virus.Win32.Sality.aa (Kaspersky), Win32/Sality.NAR (NOD32))

Diffusione: basso
Danno: medio
Dimensioni: ~ 75KB
Scoperto: 16 luglio 2008

SINTOMI:

Attività del sistema inattesa perchè il virus cercherà i file eseguibili e inserisce il suo codice precedentemente elaborato.

Allargamento della dimensione dei file eseguibili con ~ 75kbytes.
Presenza in condivisioni di rete o unità disco rimovibili nella directory root di un file autorun.inf che contiene stringhe casuali e linee di comandi shell che puntano a un file nella stessa cartella anche stranamente rinominata.

Schermo blu quando si cerca di entrare in modalità provvisoria

DESCRIZIONE TECNICA:
Il virus è un file infector polimorfico che modifica i file eseguibili (. Exe e. Scr), aggiungendo il suo corpo encripted alla fine del file in una sezione di nuova creazione. Per raggiungere l'esecuzione di questo codice originale dal suo punto di ingresso si replica con sequenze polimorfiche che avvengono nella routine di decrittazione. L'icona del file infetto non è cambiata. Quando è lanciato le azioni avranno luogo.

Modifica la memoria del processo Explorer.exe agganciando alcune API usatiesul sistema di accesso ai file.
Per nascondere sé un rootkit è caduto: System \% drivers \ [random_name].% Sys. Il file viene rilevato da Bitdefender come Win32.Sality.OH. Si aggiunge una chiave di registro che punta al conducente:

[HKLM \ System \ CurrentControlServices \asc3360pr]
[...] ImagePath = [path_to_dropped_rootkit]
DisplayName = asc3360pr [...]
Per sovrascrivere Mostra file nascosti e di sistema opzione cartella da Esplora risorse modifica il Hidden campo della
[HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced] al valore 2
Modifica folowing sicurezza specifiche chiavi di registro:
[HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List]
"Malware_path %"="%% malware_path %":*: Enabled: ipsec".
[HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings]
UserOffline Global = 0;
[HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System]
EnableLUA = 0;

Disabilita l'entrata in modalità provvisoria al boot del sistema, cancellando la chiave di registro [HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot] e presentando una schermata blu. Cerca di nascondersi dai rilevamenti.

Il Virus si diffonde attraverso condivisioni di rete e driver di disco rimovibile. Nella cartella principale crea Autorun.inf  e tenta di lanciare un file eseguibile infetto (exe. , pif.) dalla stessa cartella, il cui nome è composto da caratteri casuali.

Tenta di scaricare i file malware aggiuntivi da indirizzi qui di seguito:
http://kukutrustenet777.info
http://pzrk.ru
http://www.kjwre9fqwieluoi.info
http://kjwre77638dfqwieuoi.info ...
Inoltre tenta di connettersi a indirizzi casuali su porte random e aprire un server UDP sulla porta casualmente.

Fonte: Bitdefender

2 commenti:

  1. Buonasera

    Credo di essere stato infettato da questo malware perche' nei processi attivi del mio pc vedo una voce analoga al titolo.
    Crede che debba ripristinare o effettuare qualche procedura specifica?

    RispondiElimina
  2. Ciao e scusaci per notevole ritardo, ma a volte ci sfuggono i commenti. Avrai sicuramente risolto il problema. Se non sei in possesso d'una suite di sicurezza, ti consigliamo di effettuare periodicamente una scansione con malwarebytes.

    RispondiElimina

Related Posts Plugin for WordPress, Blogger...