Înțelegerea virusului Sality și modul de ștergere a acestuia
Sality este o familie de software rău intenționat care afectează computerele Windows prin răspândirea infecțiilor prin fișierele EXE și SCR.
Satul, care a început inițial în Rusia, a evoluat foarte mult de-a lungul anilor, astfel încât variațiile diferite ale malware-ului prezintă caracteristici diferite. Cu toate acestea, majoritatea variantelor Sality sunt viermi prin faptul că folosesc o formă de funcționalitate autorun pentru a infecta fișierele executabile prin unități detașabile sau care pot fi descoperite.
Unele sunt chiar botneturi Sality care se alătură mașinilor infectate propriei rețele P2P, astfel încât computerele în ansamblu să ajute la facilitarea lucrurilor cum ar fi furtul de date private, spargerea parolelor, trimiterea de mesaje spam și multe altele.
Virusul Sality ar putea include, de asemenea, un program de descărcare de tip troian care instalează programe malware suplimentare prin internet și un keylogger care monitorizează și înregistrează intrările de la tastatură.
Notă: Unele programe antivirus se referă la virușii Sality de alte nume precum SaILoad, SaliCode, Kookoo și Kukacka.
Cum functioneaza
După cum sa menționat mai sus, malware-ul Sality infectează fișiere executabile de pe computerul infectat.
Cele mai multe versiuni ale malware-ului au pus un fișier DLL special pe computer în directorul % SYSTEM% și s-ar putea să-l numească "wmdrtc32.dll" sau, pentru versiunea comprimată, "wmdrtc32.dl_".
Cu toate acestea, nu toate variantele virusului Sality vor folosi un fișier DLL în acest fel. Unii incarca codul direct in memorie, iar fisierul DLL nu va fi gasit nicaieri in fisierele reale.
Alții ar putea să stocheze chiar și un driver de dispozitiv în folderul % SYSTEM% \ drivers . Ceea ce face ca acest lucru să fie complicat este că ar putea fi stocat cu un nume de fișier aleatoriu, așa că dacă software-ul antivirus citește doar nume de fișiere pentru a verifica dacă există virusi și nu conținutul fișierului, există șanse mari să nu se prindă virusul Sality .
Actualizările malware-ului Sality sunt alimentate prin HTTP prin intermediul listelor descentralizate de adrese URL . Odată infectate, malware-ul trebuie doar să solicite actualizări în spatele scenei pentru a se transforma și a crește singur, pentru a descărca fișiere noi pentru a infecta alte computere.
Semne de infectare
Este important să fiți conștienți de simptomele unei infecții cu virusul Sality - ce ar putea să facă computerul dvs. și cum ar putea funcționa atunci când este prezent virusul Sality.
Ca și în cazul multor alte tipuri de malware, Sality ar putea face oricare dintre următoarele:
- Dezactivați software-ul antivirus și împiedicați accesul la anumite site-uri antivirus și de securitate.
- Împiedicați încărcarea în modul Safe .
- Eliminați fișierele, procesele și / sau serviciile legate de securitate.
- Stocați un fișier CMD, PIF și / sau EXE la rădăcina unităților detectabile, împreună cu un fișier autorun.inf care conține instrucțiuni pentru încărcarea fișierelor abandonate atunci când este accesată unitatea.
- Trimiteți spam către contactele dvs. de e-mail accesând agenda de adrese a clientului dvs. de e-mail.
- Ștergeți fișierele care conțin o anumită extensie de fișier .
Cum să ștergeți
Cea mai bună modalitate de a preveni infecția cu virusul Sality este de a vă menține calculatorul la curent cu cele mai recente patch-uri și definiții de securitate. Utilizați Windows Update și păstrați actualizarea software-ului antivirus pentru a ajuta la atenuarea acestui atac.
Dacă știți deja că aveți virusul Sality, puteți scăpa de el în mod similar. Scanați computerul pentru programe malware cu un program software antivirus actualizat și capabil . S-ar putea să aveți noroc folosind un remover spyware pentru a prinde virusul Sality, deoarece funcționează și ca spyware. Dacă acestea nu funcționează sau nu aveți acces regulat la Windows, utilizați în schimb un program antivirus bootabil .
Unii furnizori de antivirus includ un instrument special destinat exclusiv pentru a trata virusul Sality. De exemplu, AVG oferă un program antivirus gratuit, dar include și Sality Fix, pe care îl puteți descărca gratuit pentru a elimina automat virusul Sality. Kaspersky vă permite să utilizați instrumentul gratuit SalityKiller.
Dacă se constată că un fișier este infectat cu Sality, permiteți software-ului să curețe fișierul. Dacă există un alt program malware, încercați să ștergeți virusul sau să efectuați acțiunea recomandată de scaner.
Unele programe antivirus ar putea să nu detecteze virusul Sality. Dacă bănuiți că aveți virusul, dar software-ul de securitate nu îl găsește, încercați să îl încărcați în VirusTotal pentru a face o scanare online cu diferite motoare de scanare.
O altă opțiune este să ștergeți manual fișierele de virusuri prin căutarea prin computer cu un instrument de căutare de fișiere, cum ar fi Totul. Cu toate acestea, există o bună șansă ca fișierele să fie blocate din utilizare și nu pot fi eliminate în mod normal. Programele antivirus pot evita acest lucru programând malware-ul pentru ștergere atunci când computerul este oprit.
Ce e de facut in continuare
Dacă sunteți sigur că virusul Sality a fost eliminat, ar trebui să luați în considerare dezactivarea autorun pentru a preveni re-infectarea prin unități USB .
De asemenea, este important să schimbați parolele pe orice conturi online pe care le-ați utilizat în timpul infecției. În cazul în care virusul Sality vă înregistrează intrările de la tastatură, există o șansă bună să înregistreze informațiile bancare, acreditările media sociale, parola de e-mail etc. Schimbarea acestor parole ( după ce infecția a dispărut ) și verificarea conturilor pentru furt este un pas important .
Instalați un program antivirus mereu, actualizat și ușor de folosit, astfel încât este mai puțin probabil ca acest lucru să se întâmple din nou. Asigurați-vă că poate verifica unitățile amovibile pentru programele malware și puteți configura scanări programate pentru a verifica periodic programele malware de toate tipurile, nu doar pentru virusul Sality.