پاک کردن ویروس sality
توضیحات کامل:
(برخی از اطلاعات زیر از سایت سیمانتک خلاصه و ترجمه شده است)
1-) معرفی ویروس W32.Sality.AE:
این ویروس توسط نرم افزار های مختلف به نام های زیر شناسایی می شود:
TROJ_AGENT.XOO [Trend],
W32/Sality.ae [McAfee],
Sality.AG [Panda Software],
Win32/Sality.Z [Computer Associates],
Win32/Sality.AA [Computer Associates]
این ویروس پس از اجرا در سیستم شما کلید های فرعی زیر را در رجیستری سیستم شما ایجاد می کند:
-
HKEY_CURRENT_USER\Software\[USER NAME]914
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
-
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
همچنین کلید فرعی زیر را در رجیستری ایجاد می کند که فایروال ویندوز را اصطلاحا دور زده و لیست تمام نرم افزارهایی که در زیر شاخه این کلید فرعی ایجاد می شود را به عنوان نرم افزار های مجاز به عبور از فایروال معرفی می کند.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List\"[INFECTED FILE]" = "[INFECTED FILE]:*:Enabled:ipsec"
مقادیر رجیستری زیر را نیز تغییر می دهد:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
-
HKEY_LOCAL_MACHINE\SOFTWARE\
-
Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
این ویروس همچنین مقادیر ذیل کلید های رجیستری زیر را پاک می کند:
-
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
-
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
سپس خود را به عنوان یک سرویس جدید با اطلاعات زیر معرفی می کند (منظور از سرویس همان پروسه ها یا فعالیت هایی است که به صورت پنهان در سیستم شما در حال اجراست و می توانید با زدن همزمان کلید های alt+ctrl+delete و ورود به task manager و انتخاب سربرگ processes لیست تمام سرویس های در حال اجرای سیستم را ببینید. البته اگر با زدن کلید های فوق وارد تسک منیجر نمی شوید اصلا تعجب نکنید چون از اولین اقدامات این ویروس مانند بسیاری از ویروس های مشابه غیر فعال کردن تسک منیجر است . در قسمت نحوه پاک کردن این ویروس راه برای فعال کردن تسک منیجر نشان داده شده است)
Service Name: WMI_MFC_TPSHOKER_80
Display Name: WMI_MFC_TPSHOKER_80
Startup Type: Automatic
-
این ویروس همچنین هر کدام از سرویس های زیر را که در سیستم شما فعال باشد غیر فعال می کند: (توجه داشته باشید که برخی از این سرویس ها مربوط به نرم افزاری است که روی سیستم خود نصب کرده اید)
ALG -
aswUpdSv
-
avast! Antivirus
-
avast! Mail Scanner
-
avast! Web Scanner
-
AVP
-
BackWeb Plug-in - 4476822
-
bdss
-
BGLiveSvc
-
BlackICE
-
CAISafe
-
ccEvtMgr
-
ccProxy
-
ccSetMgr
-
F-Prot Antivirus Update Monitor
-
fsbwsys
-
FSDFWD
-
F-Secure Gatekeeper Handler Starter
-
fshttps
-
FSMA
-
InoRPC
-
InoRT
-
InoTask
-
ISSVC
-
KPF4
-
LavasoftFirewall
-
LIVESRV
-
McAfeeFramework
-
McShield
-
McTaskManager
-
navapsvc
-
NOD32krn
-
NPFMntor
-
NSCService
-
Outpost Firewall main module
-
OutpostFirewall
-
PAVFIRES
-
PAVFNSVR
-
PavProt
-
PavPrSrv
-
PAVSRV
-
PcCtlCom
-
PersonalFirewal
-
PREVSRV
-
ProtoPort Firewall service
-
PSIMSVC
-
RapApp
-
SmcService
-
SNDSrvc
-
SPBBCSvc
-
Symantec Core LC
-
Tmntsrv
-
TmPfw
-
tmproxy
-
UmxAgent
-
UmxCfg
-
UmxLU
-
UmxPol
-
vsmon
-
VSSERV
-
WebrootDesktopFirewallDataService
-
WebrootFirewall
-
XCOMM
این ویروس تمام فایل های اجرایی (که عموما دارای پسوند exe هستند) و ذیل کلید فرعی رجیستری زیر قرار دارند را الوده می کند:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
همچنین تمانم فایل های اجرایی که ذیل کلیدهای زیر لیست می شوند:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(با این کار با هر بار اجرای نرم ازار های فوق این ویروس تکثیر می شود)
همچنین تمام فایل های دارای پسوند exe یا scr را روی درایو سی یا درایوی که ویندوز روی آن نصب است را الوده می کند.(البته بجز فایل هایی که در فولدری دارای ریشه system یا ahead باشند) و فایل های الوده شده به سایز 57344 بایت افزایش خواهند یافت.
این ویروس تمام فایل هایی که دارای کاراکتر های زیر در نام خود باشند را پاک می کند.
- .VDB
- .AVC
- .KEY
- drw
- _AVPM
- A2GUARD
- AAVSHIELD
- AVAST
- ADVCHK
- AHNSD
- AIRDEFENSE
- ALERTSVC
- ALMON
- ALOGSERV
- ALSVC
- AMON
- ANTI-TROJAN
- AVZ
- ANTIVIR
- ANTS
- APVXDWIN
- ARMOR2NET
- ASHAVAST
- ASHDISP
- ASHENHCD
- ASHMAISV
- ASHPOPWZ
- ASHSERV
- ASHSIMPL
- ASHSKPCK
- ASHWEBSV
- ASWUPDSV
- ATCON
- ATUPDATER
- ATWATCH
- AUPDATE
- AUTODOWN
- AUTOTRACE
- AUTOUPDATE
- AVCIMAN
- AVCONSOL
- AVENGINE
- AVGAMSVR
- AVGCC
- AVGCC32
- AVGCTRL
- AVGEMC
- AVGFWSRV
- AVGNT
- AVGNTDD
- AVGNTMGR
- AVGSERV
- AVGUARD
- AVGUPSVC
- AVINITNT
- AVKSERV
- AVKSERVICE
- AVKWCTL
- AVP
- AVP32
- AVPCC
- AVPM
- AVPUPD
- AVSCHED32
- AVSYNMGR
- AVWUPD32
- AVWUPSRV
- AVXMONITOR9X
- AVXMONITORNT
- AVXQUAR
- BACKWEB-4476822
- BDMCON
- BDNEWS
- BDOESRV
- BDSS
- BDSUBMIT
- BDSWITCH
- BLACKD
- BLACKICE
- CAFIX
- CCAPP
- CCEVTMGR
- CCPROXY
- CCSETMGR
- CFIAUDIT
- CLAMTRAY
- CLAMWIN
- CLAW95
- CLAW95CF
- CLEANER
- CLEANER3
- CLISVC
- CMGRDIAN
- CUREIT
- DEFWATCH
- DOORS
- DRVIRUS
- DRWADINS
- DRWEB32W
- DRWEBSCD
- DRWEBUPW
- ESCANH95
- ESCANHNT
- EWIDOCTRL
- EZANTIVIRUSREGISTRATIONCHECK
- F-AGNT95
- FAMEH32
- FAST
- FCH32
- FILEMON
- FIRESVC
- FIRETRAY
- FIREWALL
- FPAVUPDM
- F-PROT95
- FRESHCLAM
- FRW
- FSAV32
- FSAVGUI
- FSBWSYS
- F-SCHED
- FSDFWD
- FSGK32
- FSGK32ST
- FSGUIEXE
- FSM32
- FSMA32
- FSMB32
- FSPEX.
- FSSM32
- F-STOPW
- GCASDTSERV
- GCASSERV
- GIANTANTISPYWAREMAIN
- GIANTANTISPYWAREUPDATER
- GUARDGUI
- GUARDNT
- HREGMON
- HRRES
- HSOCKPE
- HUPDATE
- IAMAPP
- IAMSERV
- ICLOAD95
- ICLOADNT
- ICMON
- ICSSUPPNT
- ICSUPP95
- ICSUPPNT
- IFACE
- INETUPD
- INOCIT
- INORPC
- INORT
- INOTASK
- INOUPTNG
- IOMON98
- ISAFE
- ISATRAY
- ISRV95
- ISSVC
- KAV
- KAVMM
- KAVPF
- KAVPFW
- KAVSTART
- KAVSVC
- KAVSVCUI
- KMAILMON
- KPFWSVC
- KWATCH
- LOCKDOWN2000
- LOGWATNT
- LUALL
- LUCOMSERVER
- LUUPDATE
- MCAGENT
- MCMNHDLR
- MCREGWIZ
- MCUPDATE
- MCVSSHLD
- MINILOG
- MYAGTSVC
- MYAGTTRY
- NAVAPSVC
- NAVAPW32
- NAVLU32
- NAVW32
- NOD32
- NEOWATCHLOG
- NEOWATCHTRAY
- NISSERV
- NISUM
- NMAIN
- NOD32
- NORMIST
- NOTSTART
- NPAVTRAY
- NPFMNTOR
- NPFMSG
- NPROTECT
- NSCHED32
- NSMDTR
- NSSSERV
- NSSTRAY
- NTRTSCAN
- NTXCONFIG
- NUPGRADE
- NVC95
- NVCOD
- NVCTE
- NVCUT
- NWSERVICE
- OFCPFWSVC
- OUTPOST
- PAV
- PAVFIRES
- PAVFNSVR
- PAVKRE
- PAVPROT
- PAVPROXY
- PAVPRSRV
- PAVSRV51
- PAVSS
- PCCGUIDE
- PCCIOMON
- PCCNTMON
- PCCPFW
- PCCTLCOM
- PCTAV
- PERSFW
- PERTSK
- PERVAC
- PNMSRV
- POP3TRAP
- POPROXY
- PREVSRV
- PSIMSVC
- QHM32
- QHONLINE
- QHONSVC
- QHPF
- QHWSCSVC
- RAVMON
- RAVTIMER
- REALMON
- REALMON95
- RFWMAIN
- RTVSCAN
- RTVSCN95
- RULAUNCH
- SAVADMINSERVICE
- SAVMAIN
- SAVPROGRESS
- SAVSCAN
- SCAN32
- SCANNINGPROCESS
- CUREIT
- SDHELP
- SHSTAT
- SITECLI
- SPBBCSVC
- SPHINX
- SPIDERML
- SPIDERNT
- SPIDERUI
- SPYBOTSD
- SPYXX
- SS3EDIT
- STOPSIGNAV
- SWAGENT
- SWDOCTOR
- SWNETSUP
- SYMLCSVC
- SYMPROXYSVC
- SYMSPORT
- SYMWSC
- SYNMGR
- TAUMON
- TBMON
- TC
- TCA
- TCM
- TDS-3
- TEATIMER
- TFAK
- THAV
- THSM
- TMAS
- TMLISTEN
- TMNTSRV
- TMPFW
- TMPROXY
- TNBUTIL
- TRJSCAN
- UP2DATE
- VBA32ECM
- VBA32IFS
- VBA32LDR
- VBA32PP3
- VBSNTW
- VCHK
- VCRMON
- VETTRAY
- VIRUSKEEPER
- VPTRAY
- VRFWSVC
- VRMONNT
- VRMONSVC
- VRRW32
- VSECOMR
- VSHWIN32
- VSMON
- VSSERV
- VSSTAT
- WATCHDOG
- WEBPROXY
- WEBSCANX
- WEBTRAP
- WGFE95
- WINAW32
- WINROUTE
- WINSS
- WINSSNOTIFY
- WRADMIN
- WRCTRL
- XCOMMSVR
- ZATUTOR
- ZAUINST
- ZLCLIENT
- ZONEALARM
این ویروس به سایت های زیر برای دریافت دستور العمل ها متصل می شود. دستور العمل های دریافتی دارای ادرس سایت های اضافه برای امکان دانلود بد افزار های جدید است:
- [http://]pedmeo222nb.info
- [http://]pzrk.ru
- [http://]technican.w.interia.pl
- [http://]www.kjwre9fqwieluoi.info
- [http://]bpowqbvcfds677.info
- [http://]bmakemegood24.com
- [http://]bperfectchoice1.com
- [http://]bcash-ddt.net
- [http://]bddr-cash.net
- [http://]btrn-cash.net
- [http://]bmoney-frn.net
- [http://]bclr-cash.net
- [http://]bxxxl-cash.net
- [http://]balsfhkewo7i487fksd.info
- [http://]buynvf96.info
- [http://]89.119.67.154/tes[REMOVED]
- [http://]oceaninfo.co.kr/picas[REMOVED]
- [http://]kukutrustnet777.info/home[REMOVED]
- [http://]kukutrustnet888.info/home[REMOVED]
- [http://]kukutrustnet987.info/home[REMOVED]
- [http://]kukutrustnet777.info
- [http://]www.kjwre9fqwieluoi.info
- [http://]kjwre77638dfqwieuoi.info
این ویروس دسترسی به سایت های مختلف امنیتی که در نام خود یکی از کلمات زیر را داشته باشند را ممنوع می کند(به همین دلیل است که در صورت الوده شدن سیستم شما به این ویروس نمی توانید از امکانات اسکن ان لاین سایت های انتی ویروس استفاده نمایید)
- Cureit
- Drweb
- Onlinescan
- Spywareinfo
- Ewido
- Virusscan
- Windowsecurity
- Spywareguide
- Bitdefender
- Panda software
- Agnmitum
- Virustotal
- Sophos
- Trend Micro
- Etrust.com
- Symantec
- McAfee
- F-Secure
- Eset.com
- Kaspersky
این ویروس اطلاعات زیر را به فایل %Windir%\system.ini اضافه می کند (منظور از %Windir% درایوی است که شما ویندوز را انجا نصب کرده اید. البته واضح است که فایل فوق به صورت مخفی می باشد.)
[MCIDRV_VER]
این ویروس خود را به هر درایو قابل جابجایی(شامل انواع مموری های فلش و دیسکت ها و فلاپی ها) با نام های زیر کپی می کند:
%DriveLetter%:\[RANDOM NAME].exe
%DriveLetter%:\[RANDOM NAME].cmd
%DriveLetter%:\[RANDOM NAME].pdf
(و منظور از RANDOM NAME نام تصادفی است که در هر بار الوده کردن یک درایو تغییر می کند.)
فایل زیر به هر درایو قابل جابجایی اضافه می شود که به واسطه ان با هر بار اتصال ان درایو به کامپیوتر، ویروس به صورت خودکار اجرا می شود.
%DriveLetter%:\autorun.inf
برای دیدن بخش دوم که نحوه ژاک کردن راامورزش می دهد به ادامه مطلب بروید:
این وبلاگ مجموعه ای از مطالب متفرقه است که توی موضوعات متفاوتی دسته بندی شده: