Virus.Win32. Sality.ag

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ.

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++.

Инсталляция

При запуске, вредоносная программа извлекает из своего тела файл, который сохраняет под случайным именем в системном каталоге Windows:

%System%\drivers\<rnd>.sys
где rnd – случайные латинские прописные буквы, например, "INDSNN". Данный файл является драйвером режима ядра, имеет размер 5157 байта и детектируется Антивирусом Касперского как Virus.Win32.Sality.ag.

Извлеченный драйвер устанавливается и запускается в системе как сервис с именем "amsint32".

Распространение

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями:

EXE 
SCR
Заражаются только файлы, которые содержат в PE-заголовке секции:
TEXT
UPX
CODE
При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело. Поиск файлов для заражения производится на всех разделах жесткого диска. При запуске зараженного файла вредоносная программа копирует оригинальное не зараженное тело файла в созданный временный каталог с именем:
%Temp%\__Rar\<the path to the virus’s original file>.exe
Для автозапуска своего оригинального файла, вредоносная программа копирует себя на все логические диски под произвольным именем, при этом расширение файла выбирается случайно из следующих значений:
.exe
.pif.
.cmd
А также создает в корневом каталоге этих дисков скрытый файл:
:\autorun.inf
в котором содержится команда для запуска вредоносного файла. Таким образом, при открытии логического диска в "Проводнике" происходит запуск вредоносной программы.

Деструктивная активность

После запуска, для контроля уникальности своего процесса в системе вредоносная программа создает уникальный идентификаторы с именем "Ap1mutx7".

Пытается выполнить загрузку файлов, расположенных по ссылкам:

http://sagocugenc.sa.funpic.de/images/logos.gif
http://www.eleonuccorini.com/images/logos.gif
http://www.cityofangelsmagazine.com/images/logos.gif
http://www.21yybuyukanadolu.com/images/logos.gif
http://yucelcavdar.com/logos_s.gif
http://www.luster-adv.com/gallery/Fusion/images/logos.gif
http://89.119.67.154/testo5/
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif
http://www.klkjwre9fqwieluoi.info/
http://kukutrustnet777888.info/
http://klkjwre77638dfqwieuoi888.info/
Загруженные файлы сохраняются в папке %Temp% и запускаются.

На момент составления описания по вышеуказанным ссылкам вирус скачивал следующие вредоносные программы:

Backdoor.Win32.Mazben.ah
Backdoor.Win32.Mazben.ax
Trojan.Win32.Agent.didu
Все загруженные вирусом вредоносные программы были предназначены для рассылки спама.

Кроме загрузки файлов, вирус может изменять множество параметров операционной системы, в том числе:

  • Отключает диспетчер задач и запрещает редактирование реестра, изменяя следующие параметры системного реестра:
    [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
    "DisableRegistryTools"=dword:00000001
    "DisableTaskMgr"=dword:00000001
  • Изменяет настройки Центра Обеспечения безопасности Windows, создавая следующие параметры ключей реестра:
    [HKLM\SOFTWARE\Microsoft\Security Center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "UacDisableNotify"=dword:00000001



    [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallDisableNotify"=dword:00000001
    "FirewallOverride"=dword:00000001
    "UacDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001
  • Запрещает отображение скрытых файлов, добавив в ключ системного реестра следующий параметр:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
    Advanced]
    "Hidden"=dword:00000002
  • Также устанавливает опции для браузера, установленного по умолчанию в системе, всегда запускаться в режиме "on-line", при этом добавляя в системный реестр следующую информацию:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "GlobalUserOffline"=dword:00000000
  • Отключает UAC (User Account Control), установив в "0" значение параметра "EnableLUA" ключа реестра:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
    "EnableLUA"=dword:00000000
    Добавляет себя в список разрешенных для доступа в сеть приложений встроенного сетевого экрана ОС Windows, сохраняя следующий параметр в ключе реестра:
    [HKLM\System\CurrentControlSet\Services\SharedAccess\
    Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "<путь_к_оригинальному_файлу_вируса>"
    = "<путь_к_оригинальному_файлу_вируса>:*:Enabled:ipsec"
  • Далее создает ключи реестра, в которых сохраняет свою служебную информацию:
    HKCU\Software\<rnd>
    Где <rnd> - произвольное значение.
  • Затем находит файл с именем:
    %WinDir%\system.ini
    и добавляет в него следующую запись:
    [MCIDRV_VER]
    DEVICEMB=509102504668 (номер может быть произвольным)
  • Отключает запуск ОС в безопасном режиме, удаляя полностью ключи реестра
    HKLM\System\CurrentControlSet\Control\SafeBoot
    HKCU\System\CurrentControlSet\Control\SafeBoot
    Удаляет файлы с расширением "exe" и "rar" из каталога хранения временных файлов текущего пользователя:
    %Temp%\
    Выполняет поиск и удаление файлов со следующими расширениями:
    "VDB", "KEY", "AVC", "drw"
  • При помощи извлеченного драйвера, блокирует обращения к доменам, адреса которых содержат следующие строки:
    upload_virus
    sality-remov
    virusinfo.
    cureit.
    drweb.
    onlinescan.
    spywareinfo.
    ewido.
    virusscan.
    windowsecurity. s
    pywareguide.
    bitdefender.
    pandasoftware.
    agnmitum.
    virustotal.
    sophos.
    trendmicro.
    etrust.com
    symantec.
    mcafee.
    f-secure.
    eset.com
    kaspersky
  • Останавливает и удаляет службы со следующими именами:
    Agnitum Client Security Service
    ALG Amon monitor
    aswUpdSv
    aswMon2
    aswRdr
    aswSP
    aswTdi
    aswFsBlk
    acssrv
    AV Engine
    avast! iAVS4
    Control Service
    avast! Antivirus
    avast! Mail Scanner
    avast! Web Scanner
    avast! Asynchronous Virus Monitor
    avast! Self Protection
    AVG E-mail Scanner
    Avira AntiVir Premium Guard
    Avira AntiVir Premium WebGuard
    Avira AntiVir Premium MailGuard
    avp1
    BackWeb Plug-in - 4476822
    bdss
    BGLiveSvc
    BlackICE
    CAISafe
    ccEvtMgr
    ccProxy
    ccSetMgr
    COMODO Firewall Pro Sandbox Driver
    cmdGuard
    cmdAgent
    Eset Service
    Eset HTTP Server
    Eset Personal Firewall
    F-Prot Antivirus Update Monitor
    fsbwsys
    FSDFWD
    F-Secure Gatekeeper Handler Starter
    FSMA
    Google Online Services
    InoRPC
    InoRT
    InoTask
    ISSVC
    KPF4
    KLIF
    LavasoftFirewall
    LIVESRV
    McAfeeFramework
    McShield
    McTaskManager
    navapsvc
    NOD32krn
    NPFMntor
    NSCService
    Outpost Firewall main module
    OutpostFirewall
    PAVFIRES
    PAVFNSVR
    PavProt PavPrSrv
    PAVSRV
    PcCtlCom
    PersonalFirewal
    PREVSRV
    ProtoPort Firewall service
    PSIMSVC
    RapApp
    SmcService
    SNDSrvc
    SPBBCSvc
    SpIDer FS Monitor for Windows NT
    SpIDer Guard File System Monitor
    SPIDERNT
    Symantec Core LC
    Symantec Password Validation
    Symantec AntiVirus Definition Watcher
    SavRoam
    Symantec AntiVirus
    Tmntsrv
    TmPfw
    tmproxy
    tcpsr
    UmxAgent
    UmxCfg
    UmxLU
    UmxPol
    vsmon
    VSSERV
    WebrootDesktopFirewallDataService
    WebrootFirewall
    XCOMM
    AVP

Также вирус пытается завершить процессы различных антивирусов и широко известных утилит для борьбы с вирусами.