Virus.Win32. Sality.t

Данная программа представляет собой файловый вирус с троянским функционалом.

Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.

Инсталляция

При запуске зараженного файла из тела вируса извлекается следующий файл:

     * %System%\oledsp32.dll — имеет размер 25600 байт
 

Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.

Процедура заражения

Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.

Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.

При заражении вирус дописывает себя в конец последней секции PE-файла.

После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.

Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска.

Деструктивная активность

Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.

Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:

 
 
 %System%\TFTempCache

В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.

Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки:

 
     * TERM
     * CONNECT
     * СОЕДИНЕН
     * УДАЛЕНН
     * REMOTE
     * LOGIN
     * PASS
     * СВЯЗ
     * ТЕРМ
     * ПОДКЛЮЧ
     * MOZIL
     * OUTLOOK
     * SERV
     * ПОЧТ
     * NET
     * CHAT
     * MONEY
     * РЕГИСТ
     * EGIST
     * SYSTEM
     * ПАРОЛ
     * PIN
     * ПЕРЕД
     * ПИН
 

Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.

Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.

Содержимое файла «%WinDir%\edialer.ini» похищается.

Все собранные данные вирус отсылает на один из электронных адресов злоумышленника:

 sector****@list.ru
 ****ntovij@list.ru
 

Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:

 
 .vdb
 .key
 .avc
 .tjc
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.