Virus.Sality.Win32.20

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Virus.Sality.Win32.20– полиморфный файловый вирус, распространяющийся через съёмные носители информации, сеть и исполняемые файлы.

Методы распространения

Заражает файлы с ррасширением *.exe и *.scr на всех доступных дисках и сетевых ресурсах. Первыми инфицируется файлы, находящиеся в корневом каталоге диска С:.
распространяется через съёмные носители информации. Для этого вирус копирует свое тело со случайным именем на все доступные для записи съемные диски. расширение файла может быть ".exe", ".pif" , ".cmd". Дополнительно вирус создает сопутствующий файл Autorun.inf, который позволит выполниться копии вируса, если на компьютере включен автозапуск.

Функциональные возможности

При запуске вирус извлекает из своего тела и устанавливает в систему драйвер блокирующий доступ к сайтам антивирусных компаний:

%Windows%\system32\drivers\<случайное имя>.sys

Также вирус несколько раз копирует свое тело в папки %Windows%\system\ и %Windows%\system32\ под разными именами. Как правило, имена файлов копируют названия системных процессов.

После чего ррегистрирует и запускает свою службу, применяющуюся для блокировки доступа к сайтам антивирусных компаний. Служба ррегистрируется под случайным именем, для этого вирус создает следующие ключи реестра:

[HKLM\System\CurrentControlSet\Services\<Имя службы>]

    Type = dword:00000001
    Start = dword:00000002
    ErrorControl = dword:00000001
   ImagePath = "\??\%Windows%\system32\drivers\<случайное имя.sys> "
    DisplayName = "<Имя службы>"

Для автоматического запуска вирус создает ключ автозапуска, который указывает на одну из копий вируса находящихся в папках %Windows%\system\ и %Windows%\system32\.
Ключ реестра может выглядеть следующим образом

[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
System = "%Windows%\system\scrss.exe"

Вирус выполняет следующие действия:

Запрещает отображение скрытых папок и файлов
Отключает User Account Control
Отключает диспетчер задач
Запрещает редактирование реестра
Отключает брандмауэр Windows
Запрещает Internet Explorer работать в автономном режиме
Удаляет ветви реестра:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
в результате чего отключается возможность загрузки в безопасном режиме

Удаляет файлы антивирусных баз (AVC, VDB)
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.
Удаляет антивирусные программы и программы мониторинга
Закрывает программы, в заголовках которых содержаться строки, указывающие на принадлежность к антивирусному программному обеспечению.
Создает в памяти уникальный идентификатор, который используется для предотвращения многократного запуска тела вируса.

Технические особенности

При заражении вирус расширяет последнюю секцию PE файла и дописывает туда своё тело. Для последней секции устанавливаются атрибуты CODE, EXECUTE, READ, WRITE.

Вирус не заражает файлы рразмером больше 20Мбайт и меньше 4 Кбайт. Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

Вирус является полиморфным, поэтому в каждом файле код вируса выглядит по-разному.
Вирус модифицирует файл system.ini добавляя строки:

[MCIDRV_VER]
DEVICEMB=<случайное значение>

Деструктивные возможности

Пытается загрузить вредоносное ПО из сети Internet и запустить его на выполнение. В результате чего в системе, кроме самого вируса, оказывается множество других вредоносных программ, таких как трояны , Backdoor и т.п. Вирус содержит ошибки в коде и часто необратимо повреждает файлы при инфицировании.