Категория «PE_SALITY.M»
PE_SALITY.M, WIN32.SECTOR.12 — Страшный вирус!
Информация взята с http://aborche.livejournal.com/1300.html
Ничто не предвещало беды и только почему-то файловый сервер стал очень медленно откликаться на запросы. Попытка понять удалённо что-же всё таки произошло с беднягой почти ни к чему не привели, так как антивирусники ничего не находили, и только висящие в памяти процессы с именем win.exe заставили более детально посмотреть ему в душу.
Это был армагеддец(более мягкое слово с таким же окончанием). На сервере каким-то образом оказался рассадник троянов, бекдоров и спам машин. Приставленный к стенке админ признался, что несколько недель назад он пускал на этот сервер прекрасную девушку которая обновляла правовые базы «Кодекс» со своего переносного харда. Как оказалось потом, несколько вирусов сидело именно имея процесс «кодекса» в качестве родительского.
Скормили подозрительный файлик касперу, опознался как Sality.y, но не сказал как лечиться. AVZ обнаружил перехватчики функций и маскирующиеся процессы имеющие в таблице процессов PID=0, но ничего сделать не смог. Попытки заинсталлить антивирус или проверить сервер внешними утилями приводил к падению этих антивирусов и утилит.
Итак что такое Sality ? Возможно у меня была разновидность этой штуки нового поколения, я не знаю. Разбирался руками долго и в итоге могу коечто рассказать. Sality это комплекс содержащий в себе набор троянских программ ворующих пароли к ftp сайтам из far, wincmd, tcmd и т.д., набор кейлоггеров которые Читать полностью →