Virus.Win32. Sality.ag

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.

Инсталляция

При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:

%System%\drivers\<rnd>.sys

где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.

Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".

Распространение

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:

EXE 
SCR

Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:

%Temp%\__Rar\<the path to the virus’s original file>.exe

Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений:

.exe
.pif.
.cmd

А также создает в корневом каталоге этих дисков скрытый файл:

:\autorun.inf

в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы.
name="doc3">

Деструктивная активность

После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7".

Пытается выполнить загрузку файлов, расположенных по ссылкам:

http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fusion/images/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/

Загруженные файлы сохраняются в папке %Temp% и запускаются.

На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:

Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu 

Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.

Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:

• Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
  [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
  "DisableRegistryTools"=dword:00000001
  "DisableTaskMgr"=dword:00000001
  
• Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:

  [HKLM\SOFTWARE\Microsoft\Security Center]
  "AntiVirusOverride"=dword:00000001
  "FirewallOverride"=dword:00000001
  "UacDisableNotify"=dword:00000001
  
  
  
  [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
  "AntiVirusDisableNotify"=dword:00000001
  "AntiVirusOverride"=dword:00000001
  "FirewallDisableNotify"=dword:00000001
  "FirewallOverride"=dword:00000001
  "UacDisableNotify"=dword:00000001
  "UpdatesDisableNotify"=dword:00000001
  

• Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
  Advanced]
  "Hidden"=dword:00000002
• Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  "GlobalUserOffline"=dword:00000000
• Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
  [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
  "EnableLUA"=dword:00000000
  Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра:
  [HKLM\System\CurrentControlSet\Services\SharedAccess\
  Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
  "<путь_к_оригинальному_файлу_вируса>"
  = "<путь_к_оригинальному_файлу_вируса>:*:Enabled:ipsec"
  
• Далее создает ключи реестра, в которых сохраняет свою служебную информацию:

  HKCU\Software\<rnd>

  Где <rnd> - произвольное значение.
• Затем находит файл с именем:

  %WinDir%\system.ini

  и добавляет в него следующую запись:

  [MCIDRV_VER]
  DEVICEMB=509102504668 (номер может быть произвольным)

• Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра

  HKLM\System\CurrentControlSet\Control\SafeBoot
  HKCU\System\CurrentControlSet\Control\SafeBoot 

  Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:

  %Temp%\

  Выполняет поиск и удаление файлов со следующими расширениями:

  "VDB", "KEY", "AVC", "drw"

• При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:

  upload_virus
  sality-remov
  virusinfo.
  cureit.
  drweb.
  onlinescan.
  spywareinfo.
  ewido.
  virusscan.
  windowsecurity. s
  pywareguide.
  bitdefender.
  pandasoftware.
  agnmitum.
  virustotal.
  sophos.
  trendmicro.
  etrust.com
  symantec.
  mcafee.
  f-secure.
  eset.com
  kaspersky
  

• Останавливает и удаляет службы со следующими именами:

  Agnitum Client Security Service
  ALG Amon monitor
   aswUpdSv    
  aswMon2 
  aswRdr  
  aswSP   
  aswTdi  
  aswFsBlk    
  acssrv  
  AV Engine   
  avast! iAVS4 
  Control Service    
  avast! Antivirus    
  avast! Mail Scanner 
  avast! Web Scanner  
  avast! Asynchronous Virus Monitor   
  avast! Self Protection  
  AVG E-mail Scanner  
  Avira AntiVir Premium Guard 
  Avira AntiVir Premium WebGuard  
  Avira AntiVir Premium MailGuard 
  avp1    
  BackWeb Plug-in - 4476822   
  bdss    
  BGLiveSvc   
  BlackICE    
  CAISafe 
  ccEvtMgr    
  ccProxy 
  ccSetMgr    
  COMODO Firewall Pro Sandbox Driver  
  cmdGuard    
  cmdAgent    
  Eset Service    
  Eset HTTP Server    
  Eset Personal Firewall  
  F-Prot Antivirus Update Monitor 
  fsbwsys 
  FSDFWD  
  F-Secure Gatekeeper Handler Starter 
  FSMA    
  Google Online Services  
  InoRPC  
  InoRT  
   InoTask 
  ISSVC   
  KPF4   
  KLIF    
  LavasoftFirewall    
  LIVESRV 
  McAfeeFramework 
  McShield    
  McTaskManager   
  navapsvc    
  NOD32krn    
  NPFMntor    
  NSCService  
  Outpost Firewall main module    
  OutpostFirewall 
  PAVFIRES    
  PAVFNSVR    
  PavProt PavPrSrv    
  PAVSRV  
  PcCtlCom    
  PersonalFirewal 
  PREVSRV 
  ProtoPort Firewall service  
  PSIMSVC 
  RapApp  
  SmcService  
  SNDSrvc 
  SPBBCSvc    
  SpIDer FS Monitor for Windows NT    
  SpIDer Guard File System Monitor    
  SPIDERNT    
  Symantec Core LC    
  Symantec Password Validation    
  Symantec AntiVirus Definition Watcher   
  SavRoam 
  Symantec AntiVirus  
  Tmntsrv 
  TmPfw  
  tmproxy 
  tcpsr   
  UmxAgent    
  UmxCfg  
  UmxLU   
  UmxPol  
  vsmon   
  VSSERV  
  WebrootDesktopFirewallDataService   
  WebrootFirewall 
  XCOMM   
  AVP 
  

Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.