/ / Virus Sality

Virus Sality

Edit

Virus Sality-portalsaintek.blogspot.com

Sality adalah klasifikasi bagi sebuah keluarga perangkat lunak berbahaya ini ( malware ), yang menginfeksi file pada Microsoft Windows sistem. Sality pertama kali ditemukan pada tahun 2003 dan telah maju selama bertahun-tahun untuk menjadi suatu bentuk, dinamis abadi dan fitur lengkap dari kode berbahaya. Sistem terinfeksi Sality dapat berkomunikasi melalui jaringan peer-to-peer jaringan (P2P) untuk tujuan menyampaikan spam yang , proxy komunikasi, exfiltrating data sensitif, mengorbankan server web dan / atau mengkoordinasikan tugas-tugas komputasi terdistribusi untuk tujuan memproses tugas-tugas intensif ( password cracking misalnya). Karena perkembangan lebih lanjut dan kemampuan, Sality dianggap sebagai salah satu bentuk yang lebih kompleks dan tangguh dari malware sampai saat ini.

Mayoritas Antivirus (A / V) vendor menggunakan konvensi penamaan berikut ini ketika mengacu pada keluarga malware (* yang pada akhir nama adalah wildcard untuk semua klasifikasi mungkin dan / atau perbedaan untuk keluarga ini malware):
  • W32/Sality. *
  • W32.HLLP.Sality. *
  • Win32.Sality. *
  • WinNT / Sality *
  • Virus:. Win32/Sality *
  • Worm:. Win32/Sality *
  • TrojanDropper:. Win32/Sality *
  • Trojan: WinNT / * Sality
  • Mal/Sality- *
  • PE_SALITY. *
  • Gen:. Win32.Sality *
  • Troj/SalLoad- *
  • W32/Kookoo- * (Sophos) 
Sality adalah keluarga polimorfik file infectors, yang menargetkan file executable Windows dengan ekstensi EXE. atau SCR. . Sality menggunakan menutupi polimorfik dan entry point (EPO) teknik untuk menginfeksi file menggunakan metode berikut: tidak mengubah entri titik alamat tuan rumah , dan mengganti kode host asli pada entry point dari executable dengan rintisan variabel untuk mengarahkan eksekusi ke kode virus polimorfik, yang telah dimasukkan dalam bagian terakhir dari file host,  rintisan mendekripsi dan mengeksekusi wilayah sekunder, yang dikenal sebagai loader, akhirnya, loader berjalan di thread terpisah dalam proses terinfeksi untuk akhirnya memuat muatan Sality.
Sality dapat mengeksekusi berbahaya payload yang menghapus file dengan beberapa ekstensi dan / atau awal dengan spesifik string , berakhir terkait keamanan proses dan jasa , pencarian buku alamat pengguna untuk alamat e-mail untuk mengirim pesan spam , dan kontak remote tuan rumah. Sality juga dapat men-download file executable tambahan untuk menginstal malware lainnya, dan untuk tujuan menyebarkan membayar per install aplikasi. Sality mungkin berisi Trojan komponen, beberapa varian mungkin memiliki kemampuan untuk mencuri data pribadi atau keuangan yang sensitif (yaitu pencuri informasi) , menghasilkan dan relay spam, lalu lintas relay melalui HTTP proxy , menginfeksi situs web, mencapai tugas-tugas komputasi terdistribusi seperti sandi retak , serta kemampuan lainnya.
Download downloader mekanisme Sality dan menjalankan malware tambahan seperti yang tercantum dalam URL yang diterima menggunakan komponen peer-to-peer. The malware didistribusikan dapat berbagi "signature kode" sama dengan muatan Sality, yang dapat memberikan atribusi untuk satu kelompok dan / atau bahwa mereka berbagi sebagian besar kode. The malware tambahan biasanya berkomunikasi dengan dan laporan ke pusat komando dan kontrol (C & C) server di seluruh dunia. Menurut Symantec, "kombinasi mekanisme infeksi file dan jaringan peer-to-peer sepenuhnya terdesentralisasi membuat Sality salah satu malware yang paling efektif dan tangguh dalam lanskap ancaman saat ini." 
Dua versi dari botnet saat ini aktif, versi 3 dan 4. The malware beredar pada mereka botnet yang ditandatangani secara digital oleh penyerang untuk mencegah pengambilalihan bermusuhan.

Sality menginfeksi file dalam komputer yang terkena dampak. Kebanyakan varian menggunakan DLL yang jatuh sekali dalam setiap komputer. File DLL ditulis ke disk dalam dua bentuk, misalnya:
  • %% SYSTEM \ wmdrtc32.dll
  • % SYSTEM% \ wmdrtc32.dl_
File DLL berisi sebagian besar virus kode. File dengan ekstensi ". Dl_" adalah copy terkompresi. Varian terbaru dari Sality, seperti Virus: Win32/Sality.AM, tidak menjatuhkan DLL, melainkan beban sepenuhnya dalam memori tanpa menulis ke disk. Varian ini, bersama dengan orang lain, juga menjatuhkan pembalap dengan nama file acak di folder%% SYSTEM \ driver. Malware lain juga mungkin drop Sality di komputer. Misalnya, varian Sality terdeteksi sebagai Virus: Win32/Sality.AU dijatuhkan oleh Worm: Win32/Sality.AU.

Sality biasanya menargetkan semua file di drive C: yang memiliki SCR atau ekstensi EXE file, dimulai dengan.. akar folder. File yang terinfeksi bertambah besar dengan jumlah yang bervariasi.
Virus ini juga menargetkan aplikasi yang berjalan pada setiap awal Windows dan aplikasi yang sering digunakan, direferensikan oleh berikut kunci registri :
  • HKCU \ Software \ Microsoft \ Windows \ ShellNoRoam \ MUICache
  • HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
  • HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Sality menghindari menginfeksi file tertentu, agar tetap tersembunyi di komputer:
  • File yang dilindungi oleh Pemeriksa Berkas Sistem (SFC)
  • File di bawah folder% SystemRoot%
  • Executable dari beberapa antivirus / firewall produk dengan mengabaikan file yang berisi substring tertentu

Removable drive dan jaringan berbagi

Beberapa varian Sality dapat menginfeksi file yang sah, yang kemudian pindah ke tersedia removable drive dan jaringan berbagi dengan menghitung semua folder jaringan berbagi dan sumber daya dari komputer lokal dan semua file di drive C: (diawali dengan root folder). Ini menginfeksi file yang ditemukan dengan menambahkan bagian kode baru untuk tuan rumah dan memasukkan kode berbahaya ke dalam bagian baru ditambahkan. Jika sebuah file yang sah ada, malware akan menyalin file ke Files folder dan kemudian menginfeksi file. File yang terinfeksi dihasilkan kemudian dipindahkan ke akar dari semua removable drive yang tersedia dan saham jaringan sebagai salah satu dari berikut:
  • \ <random <nama File. Pif
  • \ <random <nama File. Exe
  • \ <random <nama File. Cmd
Varian Sality juga menciptakan sebuah "autorun.inf" file dalam akar dari semua drive yang menunjuk ke salinan virus. Ketika drive yang diakses dari komputer mendukung autorun fitur, virus ini kemudian diluncurkan secara otomatis. [1] Beberapa varian Sality juga dapat drop file dengan ekstensi file. tmp ke jaringan berbagi ditemukan dan sumber daya serta menjatuhkan . LNK file untuk menjalankan virus turun. 

  • Sality mungkin menyuntikkan kode ke proses yang berjalan dengan memasang hook pesan 
  • Sality umumnya mencari dan upaya untuk menghapus file yang terkait dengan update antivirus dan mengakhiri aplikasi keamanan, seperti antivirus dan program firewall pribadi, upaya untuk mengakhiri aplikasi keamanan yang mengandung string yang sama dengan file menghindari menginfeksi, dan juga dapat mengakhiri berkaitan dengan keamanan layanan dan memblokir akses ke situs-situs yang berhubungan dengan keamanan yang mengandung substring tertentu
  • Varian Sality dapat memodifikasi registry komputer untuk menurunkan keamanan Windows, menonaktifkan penggunaan Windows Registry Editor dan / atau mencegah tampilan file dengan atribut tersembunyi, Beberapa varian Sality rekursif menghapus semua nilai-nilai registry dan data di bawah subkunci registri untuk HKCU \ System \ CurrentControlSet \ Control \ SafeBoot dan HKLM \ System \ CurrentControlSet \ Control \ SafeBoot untuk mencegah pengguna dari Windows dimulai dalam mode aman 
  • Beberapa varian Sality dapat mencuri informasi sensitif seperti password cache dan penekanan tombol login, yang dimasukkan pada komputer yang terkena dampak 
  • Varian Sality biasanya mencoba untuk mendownload dan menjalankan file lain termasuk membayar per install executable menggunakan daftar dikonfigurasi hingga 1000 rekan-rekan, tujuan dari jaringan P2P adalah untuk bertukar daftar URL untuk memberi makan kepada fungsi downloader, file di-download ke dalam jendela folder Temporary Files dan didekripsi menggunakan salah satu password hardcoded beberapa 
  • Sebagian besar payload Sality ini dijalankan dalam konteks proses lainnya, yang membuat pembersihan sulit dan memungkinkan malware untuk memotong beberapa firewall, untuk menghindari beberapa suntikan dalam proses yang sama, seluruh sistem mutex . disebut "<process name> exeM_ <proses ID> _ "diciptakan untuk setiap proses di mana kode disuntikkan, yang akan mencegah lebih dari satu contoh dari berjalan di memori pada waktu yang sama.
  • Beberapa varian dari Win32/Sality menjatuhkan sopir dengan nama file acak di folder%% SYSTEM \ driver untuk melakukan fungsi yang sama seperti menghentikan proses yang berhubungan dengan keamanan dan memblokir akses ke situs-situs yang berkaitan dengan keamanan, dan juga dapat menonaktifkan setiap deskriptor sistem pelayanan tabel (SSDT) ​​kait untuk mencegah perangkat lunak keamanan tertentu dari bekerja dengan baik
  • Beberapa varian Sality menyebar dengan pindah ke removable tersedia / remote drive dan saham jaringan
  • Beberapa varian Sality drop file LNK,. Yang secara otomatis menjalankan virus menjatuhkan
  • Beberapa varian Sality dapat mencari alamat Outlook pengguna buku dan file Internet Explorer cache untuk alamat e-mail untuk mengirim pesan spam, yang kemudian mengirimkan pesan spam berdasarkan informasi yang mengambil dari server jauh 
  • Sality dapat menambahkan bagian ke file konfigurasi% SystemRoot% \ system.ini sebagai penanda infeksi, hubungi host remote untuk mengkonfirmasi konektivitas internet, melaporkan infeksi baru untuk penulisnya, menerima data konfigurasi atau lainnya, mendownload dan menjalankan file sewenang-wenang (termasuk update atau malware tambahan), menerima instruksi dari penyerang remote, dan / atau meng-upload data yang diambil dari komputer yang terkena dampak, beberapa Varian Sality dapat membuka koneksi remote, yang memungkinkan penyerang remote untuk mendownload dan menjalankan file sewenang-wenang pada komputer yang terinfeksi 
  • Komputer terinfeksi dengan versi terbaru dari Sality, seperti Virus: Win32/Sality.AT, dan Virus: Win32/Sality.AU, terhubung ke komputer yang terinfeksi lainnya dengan bergabung peer-to-peer (P2P) jaringan untuk menerima URL yang menunjuk ke tambahan komponen malware, protokol P2P berjalan lebih dari UDP , semua pesan yang dipertukarkan pada jaringan P2P dienkripsi, dan UDP lokal nomor port yang digunakan untuk menghubungkan ke jaringan yang dihasilkan sebagai fungsi dari nama komputer   
 Langkah-langkah berikut dapat membantu mencegah infeksi:
  • Aktifkan firewall pada komputer Anda
  • Dapatkan update komputer terbaru untuk semua perangkat lunak yang diinstal
  • Gunakan up-to-date perangkat lunak antivirus
  • Batasi hak pengguna pada komputer
  • Berhati-hatilah saat membuka lampiran dan menerima transfer file
  • Gunakan hati-hati ketika mengklik link ke halaman web
  • Hindari men-download perangkat lunak bajakan
  • Melindungi diri terhadap rekayasa sosial serangan 

Sality menggunakan langkah-langkah siluman untuk mempertahankan ketekunan pada sistem, dengan demikian, Anda mungkin perlu untuk booting ke lingkungan yang terpercaya untuk menghapusnya. Sality juga dapat membuat perubahan pada komputer Anda, seperti perubahan pada Windows Registry, yang membuatnya sulit untuk men-download, menginstal dan / atau memperbarui perlindungan virus Anda. Juga, karena banyak varian dari upaya untuk menyebarkan ke Sality tersedia removable / remote drive dan saham jaringan, adalah penting untuk memastikan proses pemulihan secara menyeluruh mendeteksi dan menghapus malware dari setiap dan semua dikenal / mungkin lokasi.
Salah satu solusi yang mungkin akan menggunakan Microsoft Windows Defender Beta Offline untuk mendeteksi dan menghapus Sality dari sistem anda. Untuk informasi lebih lanjut tentang Windows Defender Offline

Share on Google Plus

About Unknown

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.
    Blogger Comment
    Facebook Comment

0 komentar :

Posting Komentar

Langganan: Posting Komentar ( Atom )