Sality è una famiglia di software dannoso per l'elaborazione di file che colpisce i computer Windows diffondendo infezioni tramite file EXE e SCR.
Sality, che potrebbe essere originariamente originario della Russia, si è evoluto molto nel corso degli anni, quindi diverse varianti del malware presentano caratteristiche diverse. Tuttavia, la maggior parte delle varianti di Sality sono worm in quanto utilizzano una qualche forma di funzionalità di esecuzione automatica per infettare i file eseguibili tramite unità rimovibili o rilevabili.
Alcuni sono addirittura botnet Sality che si uniscono alle macchine infette alla propria rete P2P, in modo che i computer nel loro insieme facilitino cose come il furto di dati privati, cracking di password, invio di spam e altro.
Il virus Sality potrebbe anche includere un downloader Trojan che installa malware aggiuntivo via Internet e un keylogger che monitora e registra le battiture.
Nota: Alcuni programmi antivirus si riferiscono ai virus Sality con altri nomi come SaILoad, SaliCode, Kookoo e Kukacka.
Come funziona
Come accennato in precedenza, il malware Sality infetta i file eseguibili sul computer infetto.
La maggior parte delle versioni del malware inserisce nel computer un file DLL speciale all'interno del malware %SISTEMA% cartella e potrebbe chiamarlo "wmdrtc32.dll" o, per la versione compressa, "wmdrtc32.dl_".
Tuttavia, non tutte le varianti del virus Sality utilizzeranno un file DLL in questo modo. Alcuni caricano il codice direttamente nella memoria e il file DLL non verrà trovato in nessun punto all'interno dei file del disco effettivo.
Altri potrebbero persino memorizzare un driver di dispositivo in % Drivers% DI SISTEMA cartella. Ciò che rende questo difficile è che potrebbe essere memorizzato con un nome di file casuale, quindi se il tuo software antivirus legge solo i nomi dei file per verificare la presenza di virus, e non il contenuto del file, c'è una buona probabilità che non catturerà il virus Sality .
Gli aggiornamenti del malware Sality sono alimentati tramite HTTP tramite elenchi decentrati di URL. Una volta infettato, il malware deve solo richiedere aggiornamenti dietro le quinte per trasformarsi e crescere autonomamente, per scaricare nuovi file per infettare altri computer.
Segni di infezione
È importante essere a conoscenza dei sintomi di un'infezione da virus Sality: cosa potrebbe fare il computer o come potrebbe comportarsi quando è presente il virus Sality.
Come con molti altri malware, Sality potrebbe eseguire una delle seguenti azioni:
- Disabilitare il software antivirus e impedire l'accesso a determinati siti Web antivirus e di sicurezza.
- Impedisci l'avvio in modalità provvisoria.
- Rimuovi file, processi e / o servizi relativi alla sicurezza.
- Archiviare un file CMD, PIF e / o EXE nella directory principale delle unità individuabili, insieme a un file autorun.inf che contiene le istruzioni per caricare i file rilasciati quando si accede all'unità.
- Invia spam ai tuoi contatti e-mail accedendo alla rubrica del tuo client di posta elettronica.
- Elimina i file che contengono una determinata estensione di file.
Come eliminare
Il modo migliore per prevenire un'infezione da virus Sality è di mantenere il computer aggiornato con le ultime patch e definizioni di sicurezza. Usa Windows Update e mantieni aggiornato il software antivirus per aiutare a contrastare questo attacco.
Se sai già di avere il virus Sality, puoi eliminarlo in un modo simile. Esegui la scansione del tuo computer alla ricerca di malware con un programma antivirus aggiornato e capace. Potresti avere la fortuna di utilizzare uno strumento di rimozione dello spyware per catturare il virus Sality poiché funziona anche come spyware. Se quelli non funzionano o non si ha accesso regolare a Windows, utilizzare invece un programma antivirus avviabile.
Alcuni produttori di antivirus includono uno strumento speciale pensato specificamente per gestire il virus Sality. Ad esempio, AVG offre un popolare programma antivirus gratuito ma include anche Sality Fix che è possibile scaricare gratuitamente per rimuovere automaticamente il virus Sality. Kaspersky ti consente di utilizzare lo strumento gratuito SalityKiller.
Se un file viene rilevato infetto da Sality, consentire al software di pulire il file. Se viene rilevato altro malware, provare a eliminare il virus o ad eseguire l'azione consigliata dallo scanner.
Alcuni programmi antivirus potrebbero non rilevare il virus Sality. Se si sospetta di avere il virus ma il software di sicurezza non lo trova, provare a caricarlo su VirusTotal per eseguire una scansione online con vari motori di scansione.
Un'altra opzione è quella di eliminare manualmente i file dei virus cercando sul computer con uno strumento di ricerca file come Tutto. Tuttavia, ci sono buone probabilità che i file siano bloccati dall'uso e non possano essere rimossi in modo normale. I programmi antivirus di solito possono evitarlo programmando il malware per la cancellazione quando il computer viene spento.
Cosa fare dopo
Se sei sicuro che il virus Sality è stato rimosso, dovresti prendere in considerazione la possibilità di disabilitare l'esecuzione automatica per impedire una re-infezione tramite unità USB.
È inoltre importante modificare le password in qualsiasi account online utilizzato durante il periodo dell'infezione. Se il virus Sality stava registrando le sequenze di tasti, è probabile che abbia registrato le informazioni bancarie, le credenziali dei social media, la password e-mail, ecc. Modifica di tali password ( dopo che l'infezione è andata ) e controllare i tuoi account per il furto è un passo importante.
Installa un programma antivirus sempre attivo, sempre aggiornato e di facile utilizzo in modo che sia meno probabile che ciò accada di nuovo. Assicurati che possa controllare le unità rimovibili per malware e configurare scansioni pianificate per verificare periodicamente la presenza di malware di tutti i tipi, non solo per il virus Sality.
