Очередная модификация Sality?
Буквально вчера новостные порталы Рунета запестрили сообщениями, о том, что в сети появился новый опасный троян «Sality.AO«. В качестве источника все ссылаются на сайт Panda Security.
В общем все говорят много страшных слов о том, что вирус использует некоторые новые «старые технологии», то есть такие, которые уже давно не использовались, например, аварийное обесточивание (EPO) или резонатор (Cavity). Ну и еще много всяких букв о том, почему это выгодно кибер-преступникам и бла-бла-бла…
Я решил копнуть немного поглубже, а если учесть то, что Sality уже мелькал на страницах моего блога, тема была мне вдвойне интересна.
Судя по названию, это вероятно, одна из очередных модификаций Sality, что само по себе должно означать, что очень многим IT-отделам очень многих фирм придётся изрядно помудохаться. Лучше, конечно, начинать уже сейчас, ибо, подготовившись, потом нужно будет мудохаться меньше. Ладно, разгалделся 8)
Скажу честно, что много не накопал, ибо был дико уставший и очень хотел спать :)) Все мы люди :))
Итак, что я нашёл на http://www.threatexpert.com/
Зараженное файло поступило к ним аж 24 января сего года, что никак не может говорить об актуальности информации от Панды.
Варианты названия (в квадратных скобках естественно название антивируса):
* TrojanSpy.Ardamax.WQ [PCTools]
* W32.Sality.AE [Symantec]
* Virus.Win32.Sality.aa [Kaspersky Lab]
* W32/Sality.ao [McAfee]
* PE_SALITY.JER [Trend Micro]
* W32/Sality-AM [Sophos]
* Virus:Win32/Sality.AM [Microsoft]
Первое, на что они обращают внимание, что в теле вируса нходится keylogger (маленькое ПО для того, чтобы следить за действиями ваших пальчиков во время работы за компом, используется в основном для кражи паролей).
Дальше говорится о том, что вирус способен модифицировать файлы вашего ПК, вплоть до полного переписывания содержания (обратив внимание на те самые технологии, о которых я говорил выше, это ни фига не есть хорошо).
При заражении на ПК создаются следующие файлы:
#1. %CommonPrograms%\Ardamax Keylogger\Ardamax Keylogger.lnk (ярлычок, очевидно)
2. %System%\[filename of the sample #1 without extension].001 (without extension — «без расширения», для тех, кто не в курсе).
3. [file and pathname of the sample #1]
причём антивирусы ругаются только на файл под номером 3.
В памяти тут же создаётся процесс со следующим именем:
[filename of the sample #1] [file and pathname of the sample #1]
Модификации реестра:
* The following Registry Key was created:
o HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ardamax Keylogger
* The newly created Registry Values are:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
+ [filename of the sample #1 without extension] Agent = «[file and pathname of the sample #1]»
so that [file and pathname of the sample #1] runs every time Windows starts
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ardamax Keylogger]
+ DisplayName = «Ardamax Keylogger 2.9»
+ UninstallString = «%System%\Uninstall.exe»
Ну и в общем-то тут пока всё. Я естественно боюсь, что это далеко не полный список действий вируса, а скорее всего лишь малая часть, но на это стоить обратить внимание, чтобы, собственно, вовремя заметить угрозу.
Сейчас очень хочу спать, поэтому, максимальное количество инфы для борьбы со зверьком буду собирать уже завтра, потом выложу уже и полный обзор. Хотя более чем уверен, что тут пригодится вся инфа о PE_SALITY.M
Чисто интуитивно — одного поля ягоды 8).
Интересное в сети…
[…] источника все ссылаются на сайт Panda Security. В общем все говорят много страшных слов о том, что …