Welcome to EverybodyWiki 😃 ! Nuvola apps kgpg.png Log in or ➕👤 create an account to improve, watchlist or create an article like a 🏭 company page or a 👨👩 bio (yours ?)...

Virus.Win32.Sality.aa

Fonte: EverybodyWiki Bios & Wiki


Virus.Win32.Sality.aa, também conhecido como W32/Sality (McAfee), W32.Sality.AE (Symantec), Virus:Win32/Sality.AM (Windows Live OneCare), PE_SALITY.EM (Trend Micro), é um vírus de computador que foi criado no ano de 2007 e que tem o autor desconhecido. Quando infecta a máquina com os sistemas operacionais Windows 95, Windows 98, Windows 98 SE, Windows NT, Windows ME, Windows 2000, Windows XP e Windows 2003 apaga arquivos de programas instalados no computador pelo usuário e de programas que já vem instalados no Windows, como o Wordpad, Notepad, Paint e até o gpedit.msc.

O vírus quando presente no disco rígido, impede que o usuário inicie o computador em modo seguro, abra programas antivírus e até mesmo acesse páginas da Internet de empresas fabricantes desses programas.

O vírus só pode ser apagado com ferramentas para verificação e remoção de vírus como, por exemplo, o Kaspersky Vírus Removal Tool e também o AVG Vírus Remover for Win32/Sality

Depois de removido o vírus ainda deixa rastros como programas que não funcionam por falta de determinado arquivo. Outros sintomas desse vírus são: congelamento do computador, lentidão para abrir aplicativos e lentidão na navegação, pois o vírus tem a capacidade de se propagar por vários softwares que o sistema tenha instalado, e que venha a instalar, após infectado...


Formas de Contaminação[editar]

O vírus contamina o PC através de um programa executável (.EXE, .PIF), após isto ele tenta baixar um driver para pasta \windows\system32\drivers\nomevariavel.sys, na proxima reinicialização do PC, o driver entra em atividade e bloqueia os principais antivírus do mercado.

Após contaminar o Executável, ele modifica uma seção (PE Section) e toma posse dos primeiros 40 bytes aproximadamente, o código é variável, já que o Sality é um MalWare Polimórfico (tem formato mutante). Ele transfere o código original para o final do programa contaminado e o criptografa para dificultar a restauração do arquivo, a criptografia utilizada é o RC4 da RSA, além disto o código inicial é também bagunçado para dificultar o entendimento.

Imagem-contaminacao-sality.jpg

Ligações externas[editar]


Este artigo "Virus.Win32.Sality.aa" é da wikipedia The list of its authors can be seen in its historical and/or the page Edithistory:Virus.Win32.Sality.aa.