Категория «Sality»
Очередная модификация Sality?
0
Буквально вчера новостные порталы Рунета запестрили сообщениями, о том, что в сети появился новый опасный троян «Sality.AO«. В качестве источника все ссылаются на сайт Panda Security.
В общем все говорят много страшных слов о том, что вирус использует некоторые новые «старые технологии», то есть такие, которые уже давно не использовались, например, аварийное обесточивание (EPO) или резонатор (Cavity). Ну и еще много всяких букв о том, почему это выгодно кибер-преступникам и бла-бла-бла…
Я решил копнуть немного поглубже, а если учесть то, что Sality уже мелькал на страницах моего блога, тема была мне вдвойне интересна.
Судя по названию, это вероятно, одна из очередных модификаций Sality, что само по себе должно означать, что очень многим IT-отделам очень многих фирм придётся изрядно помудохаться. Лучше, конечно, начинать уже сейчас, ибо, подготовившись, потом нужно будет мудохаться меньше. Ладно, разгалделся 8)
Скажу честно, что много не накопал, ибо был дико уставший и очень хотел спать :)) Все мы люди :))
Итак, что я нашёл на http://www.threatexpert.com/
Зараженное файло поступило к ним аж 24 января сего года, что никак не может говорить об актуальности информации от Панды. Читать полностью →
PE_SALITY.M, WIN32.SECTOR.12 — Страшный вирус!
Информация взята с http://aborche.livejournal.com/1300.html
Ничто не предвещало беды и только почему-то файловый сервер стал очень медленно откликаться на запросы. Попытка понять удалённо что-же всё таки произошло с беднягой почти ни к чему не привели, так как антивирусники ничего не находили, и только висящие в памяти процессы с именем win.exe заставили более детально посмотреть ему в душу.
Это был армагеддец(более мягкое слово с таким же окончанием). На сервере каким-то образом оказался рассадник троянов, бекдоров и спам машин. Приставленный к стенке админ признался, что несколько недель назад он пускал на этот сервер прекрасную девушку которая обновляла правовые базы «Кодекс» со своего переносного харда. Как оказалось потом, несколько вирусов сидело именно имея процесс «кодекса» в качестве родительского.
Скормили подозрительный файлик касперу, опознался как Sality.y, но не сказал как лечиться. AVZ обнаружил перехватчики функций и маскирующиеся процессы имеющие в таблице процессов PID=0, но ничего сделать не смог. Попытки заинсталлить антивирус или проверить сервер внешними утилями приводил к падению этих антивирусов и утилит.
Итак что такое Sality ? Возможно у меня была разновидность этой штуки нового поколения, я не знаю. Разбирался руками долго и в итоге могу коечто рассказать. Sality это комплекс содержащий в себе набор троянских программ ворующих пароли к ftp сайтам из far, wincmd, tcmd и т.д., набор кейлоггеров которые Читать полностью →
