Cách diệt Win32Sality.T
) Mô Tả
Tên: Virus.Win32.Sality.t (Kaspersky), W32.Sality.Y!inf (Symantec), W32/Sality.p virus (McAfee)
Kiểu : Virus
Kích thước: Khoảng 20KB
Nền tảng bị ảnh hưởng: Microsoft Windows
Phiên bản trong cơ sở dữ liệu: 2126 (20070319)
Win32/Sality.T là một tập tin lây nhiễm II) Cài đặt
Khi lây nhiễm virus tải xuống các tập tin sau và đưa vào thư mục %system% folder
oledsp32.dl_ (18902 B)
oledsp32.dll (26624 B)
Win32/Sality.T là một tập tin lây nhiễm
Nó tìm kiếm và thi hành cùng với các đuôi mở rộng sau
*.exe
*.scr
Các tập tin bị mắc bệnh nó sẽ tạo thêm một thư mục mới có chứa virus
Kích thước của mã chèn khoảng 20 Kb.
Các virus lây nhiễm sẽ tham chiếu vào các mục sau trong Registry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Sau khi có thể vào các mục trên nó có thể đảm bảo rằng nó có thể chạy được trên mọi hệ thống III) Thông tin khác
Win32/Sality.T là một dạng virus đánh cắp thông tin
Những thông tin sau sẽ được thu tập
user name (Tên người dùng)
computer name (Tên máy tính)
malware version
computer IP address (Địa chỉ IP)
operating system version (Phiên bản hệ thống)
list of disk devices and their type (Danh sách các đĩa và thiết bị )
RAS accounts (Tài khoản)
recently visited URLs (Các địa chỉ đã đến )
Dữ liệu được lưu trong tập tin sau :
%system%\TFTempCache
Các virus gửi các thông tin qua e-mail. Các virus sử dụng máy chủ SMTP sau:
msx.mail.ru
Sau đây là địa chỉ người gửi CyberMazafaka@mailru.com
Các địa chỉ người nhân sector2007@list.ru bespontovij@list.ru
Tên của các tập tin đính kèm
readme.tjc
TFTempCache.tjc
Nếu ngày hiện tại của hệ thống và thời gian phù hợp với một số điều kiện, Virus sẽ hiển thị thông báo sau
WIN32.HLLP.KUKU v3.0b
<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector
Những tập tin sau sẽ bị xoá
*.vdb
*.avc
*.drw.key
Tạo ra tệp tin sau
%windir%\system.ini
Virus ghi thêm các giá trị vào files
[TFTempCache]
RtlMoveMemory=%number%
MPR=%number%
