Virus Win32.Sality – metode de dezinfectare
| July 27th, 2009In ultima vreme am vazut foarte multe calculatoare infectate cu una din versiunile virusului Sality (Virus.Win32.Sality.aa Win32/Sality.AM W32/Sality.ah), asa ca am decis sa ajutam “poporul” cu metode simple si accesibile pentru fiecare de dezinfectare si inlaturare a virusului.
Sality este un virus polimorfic cu capabilitati de backdoor si keylogger care infecteaza fisierele executabile (.EXE) si incearca stergerea fisierelor asociate programelor anti-virus, anti-spyware si in unele cazuri firewall. Dupa acest pas, Sality ruleaza un modul keylogger care colecteaza informatii despre sistemul infectat, inregistraza parolele si conturile de login folosite dupa care le trimite la o adresa de e-mail predefinita. Si asta nu este tot, virusul creeaza un backdoor prin care atacatorul poate prelua controlul calculatorului… de aici va puteti imagina si voi ce se poate intampla.
Ca metode de propagare virusul se raspandeste in retea si pe alte medii de stocare copiindu-se cu denumiri aleatoare si creand o cale in fisierul “autorun.inf” pentru a fi sigur ca va fi rulat.
Virusul este cunoscut sub urmatoarele denumiri:
- W32/Sality (McAfee);
- Virus.Win32.Sality.aa (Kaspersky);
- W32.Sality.AE (Symantec);
- Virus:Win32/Sality.AM (MS OneCare);
- PE_SALITY.EM (Trend);
ATENTIE !!! Orice modificare necorespunzatoare a registrilor va poate afecta stabilitatea sistemului de operare sau chiar distrugerea acestuia. Asa ca nu va jucati cu focul.
Conform Kaspersky Lab, virusul se afla pe primul loc in TOP 20: – “[…] cele mai periculoase aplicatii detectate pe calculatoarele utilizatorilor in luna ianuarie 2009:”
Pozitie | Schimbare in clasament | Program periculos |
1 | 0 | Virus.Win32.Sality.aa |
2 | 0 | Packed.Win32.Krap.b |
3 | 1 | Worm.Win32.AutoRun.dui |
4 | -1 | Trojan-Downloader.Win32.VB.eql |
5 | 3 | Trojan.Win32.Autoit.ci |
6 | 0 | Trojan-Downloader.WMA.GetCodec.c |
7 | 2 | Packed.Win32.Black.a |
8 | -1 | Virus.Win32.Alman.b |
9 | 5 | Trojan.Win32.Obfuscated.gen |
10 | 10 | Trojan-Downloader.WMA.GetCodec.r |
11 | Nou | Exploit.JS.Agent.aak |
12 | -1 | Worm.Win32.Mabezat.b |
13 | -3 | Worm.Win32.AutoIt.ar |
14 | 1 | Email-Worm.Win32.Brontok.q |
15 | Nou | Virus.Win32.Sality.z |
16 | Nou | Net-Worm.Win32.Kido.ih |
17 | Revenire | Trojan-Downloader.WMA.Wimad.n |
18 | -2 | Virus.Win32.VB.bu |
19 | -2 | Trojan.Win32.Agent.abt |
20 | Nou | Worm.Win32.AutoRun.vnq |
METODE DE INLATURARE:
Daca aveti un antivirus bun care detecteaza si poate inlatura Sality atunci folositi-l cu incredere (Clean sau Quarantine). Dar daca protectia dvs. antivirus a fost compromisa atunci puteti urma variantele descrise mai jos:
1. Incercati sa descarcati Kaspersky Virus Removal tool:
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
2. Acum va trebui sa restartati sistemul in Safe Mode (Restartati si dupa ecranul de POST: “Power-on self test” al BIOS-ului apasati F8 si selectati Safe Mode). Este posibil ca optiunea de a boota in Safe Mode sa fie dezactivata de virus. Pentru a o reactiva descarcati unul din fix-urile de mai jos:
SafeBoot-for-Windows-2000-SP4-Professional.reg
SafeBoot-for-Windows-XP-SP2.reg
SafeBoot-for-Windows-XP-SP3.reg
SafeBoot-for-Windows-Vista.reg
SafeBoot-for-Windows-Server-2003.reg
Daca nu puteti boota in Safe Mode atunci rulati Kaspersky Virus Removal tool direct in Windows…
3. In momentul in care Kaspersky Virus Removal tool a fost rulat cu succes, imaginea alaturata va aparea. Va recomand sa scanati absolut tot pentru a avea succes in inlaturarea virusului. Pe parcursul scanarii selectati dezinfectarea fisierelor infectate. Dupa finalizare va recomandam inca o scanare “Just in case”.
Timpul mediu de scanare poate varia de la 1 ora pana la 3 ore in functie de propagarea infectiei.
Pentru a grabi procesul de dezinfectare puteti alege din panoul de setari: “Do not prompt for action” si bifati: Disinfect.
ATENTIE !!! Daca veti selecta si optiunea: “Delete if disinfection fails”, este posibil ca fisiere vitale ale sistemului dvs. sa fie sterse in cazul in care dezinfectarea esueaza si sa trebuiasca apoi sa va reinstalati sistemul sau programele afectate.
4. In unele situatii, virusul blocheaza accesul asupra registrilor si a task manager-ului. Pentru a recapata controlul acestora, puteti incerca utilitarul RRT: Remove Restrictions Tool sau urmatoarele utilitare:
Registry Fix si Task Manager FIX. O metoda si mai rapida ar fi salvarea si rularea script-ului propus de Symantec: UnHookExec.inf
5. O alta metoda ar fi folosirea removal tool-ului de la AVG Anti-Virus: Win32/Sality Virus Removal Tool. Descarcati cele 3 fisiere in acelasi director si rulati fisierul: rmsality.exe
DEVIRUSARE USOARA !!!
.
Alte Surse:
Kaspersky Lab: http://support.kaspersky.com/faq/?qid=208279889
TrendMicro: http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_SALITY.AE
CA: http://www.ca.com/us/securityadvisor/virusinfo/virus.aspx?id=74007
Sophos: http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.html
Symantec: http://www.symantec.com/security_response/writeup.jsp?docid=2008-042106-1847-99
BitDefender: http://www.bitdefender.com/VIRUS-1000406-en–Win32.Sality.OG.html
.
Multumim pentru articoul tau, chiar de ajutor.
Kaspersky Virus Removal tool, l-am,folosit cu succes pe winserver 2008 datacenter x64, si win7 ultimate x32
multumesc de tutorial
subscriu si eu cu Kaspersky , se poate folosi in loc de antinevralgic
da,e folositor,desi am impresia ca sality-ul e mult mai eficient de atat…daca nu merge cu Kaspersky virus removal tool puteti incerca Virus removal for Win32/Sality de la AVG
Bun articol, bine documentat.
Felicitari, multumim!
Incercati si microsoft security essentials 😉 e BON
Multumesc mult.Acest virus mi-a infectat toata reteaua ; acum m-apuc sa urmaresc pasii indicati ; si cred ca voi reusi datorita ajutorului intalnit aici.Multumesc inca o data.Felicitari!!! si sanatate 🙂
Multumesc mult!
Multumesc mult, bun articolul, m-a ajutat, eram si eu intr-o situatie asemanatoare, chiar mi-a salvat tot HDD-ul, multumesc mult !!!
Aveti aici un link cu un mic programel ce va scapa de virus in 10 secunde: http://www.tutorialepc.ro/un-nou-virus-circula-prin-messenger-im56245-jpg-www-myspace-com-exe.html
Da, foarte bun instructajul, multumim 🙂 ! Mentionez ca AVG m-a dezamagit in schimb KasperSky si-a facut treaba.
[…] de pe el. Are cateva utilitare care te-ar putea ajuta. In alta ordine de idei, uite si un link: http://blog.atweb.ro/2009/07/27/win3…removal_tools/, poate vei rezolva problema. Sper ca am reusit sa-ti fiu de folos cat de cat! […]
recent l-am scapat pe acest virus in calc si nu e de gluma in cam 1 ora mi-a infectat majoritatea executabilelor trecand cu usurinta de avira , am reusit sa-l curat cu avast boot time scan si delet all inclusiv niste exe din windows , in total se multiplicase de vreo 200 de ori in 1 ora !
am scapat de sality debia dupa al doilea format(la C: )… pentru ca dupa primul nu stiam cu ce “bestie” incercam sa ma lupt in zadar …intr-un final am reusit sa instalez avast si mi l-a scos de pe cealalta partitie .
Deci daca observati ca nu mai avtei acces la regedit si task manager, nu mai puteti copia fisiere sau nici macar creea fisiere noi … cel mai probabil aveti sality si cea mai sigura optiune dupa parerea mea ar fi format la toate partitiile … sau daca nu format doar C:(partitia cu windows) si instalarea (cat mai rapida) a avastului(chiar si versiunea free) dintr-o sursa sigura IN NICI UN CAZ DE PE PC-ul infectat, apoi un scan complet ar trebui sa rezolve problema.
Dupa mai multe incercari blocate de a scana…am reusit sa sterg procesele nedorite din memorie si sa curat partial sistemul folosind Dr.WEB CureIt!.
Ulterior am putut instala si curata computerul cu Avira si F-Secure. Deocamdata totul pare in regula.
Incerc acum pe un laptop infectat… revin cu detalii mai tarziu !
Din pacate, multe utilitare desinfecteaza fisierele, dar nu elimina virusul. Ca si în cazul removerului AVG: desinfecteaza fisierele virusate. Daca verificati fisierele pe VirusTotal, inca mai este virusat, insa doar AVG-ul nu-l mai detecteaza ca fiind virus. Chiar si cu removerul de la Sophos – se vede in fereastra Disinfection succesful, insa daca mai rescanez iara cica il dezinfecteaza, si scannerele tot vad fisierul ca fiind infectat. Am gasit eu o metoda, cred ca merge daca reusiti sa desinfectati cat de cat calculatorul. In C:\Windows exista fisierul regedit.exe (Registry Editor). Stergeti fisierul sau redenumiti-l (eu i-am pus regedit.e1x1e). Acum virusul nu mai ruleaza, Task Managerul merge fara sa mai incerc sa-l repar pe moment cu Task manager, si imi merg site-uri care nu imi mergeau inainte datorita virusului. Unicul dezavantaj: Nu se pot adauga registrii, nu se pot aplica reg-uri. Dar puteti oricând sa-l repuneti în actiune regedit-ul. Redenumiti fisierul in regedit.exe 😉
Multumim de informatii !!! Ma apuc de treaba mama lui de Sality mi-a dezactivat tot safe mode registri task manager . Sper sa-l pot inlatura
Multumesc foarte mult… chiar mai ajutat.. eu credeam ca e tampit anti-virusul de imi sterge toate fisierele cu extensia .exe… inca o data mii de multumiri
nod32 si malware anti malware si nu face nimic sality
Doar Avast m-a ajutat sa scap de toti w32/sality, worm, si inca vreo cativa virusi nu mai tin minte cum se chemau, restu’ nici un antivirus (kav, nod, trend…) ii detectau dar nu ii puteau sterge. Dupa ce i-am deletat am sters avast si am instalat din nou Nod32 deoarece nu am gasit key pentru avast, era doar pe 6 zile, dar a facut treaba buna;)
M-am confruntat cu toate armele lui sality unde numarul lui sality era de 7600 virusi.
SOLUTIA GASITA DE MINE A FOST: In prima faza m-am chinuit cu Kaspersky Remover dar a fost foarte foarte neputincios si scanarea dureaza extrem de mult. Am trecut la Dr.Web, la care la fel a durat scanarea f. mult dar oricum mult mai repede, si care m-a anuntat ca a dezinfectat si sters tot. Nici vorba de asa ceva desi am rulat in safe mode. Atunci am gasit de cuvinta sa intru cu un LINUX si sa sterg tot ce tinea de exe in Volume information atat in C cat si D. Dupa aceasta operatiune mi-a fost permisa instalarea lui AVAST free care a curatat definitiv calculatorul printr-o scanare la bootare. Si a sters in mare virusii din cosul de gunoi. (08.01.2010).
ma eu am windows xp sp2 si nu pot deschide nici un fisier decat google din bara de start cand vreau sa deschid un fisier exe imi apare asa:exe is not valid win32.ce e chestia asta nustiu, cine ma poate ajuta???va rog
Andrei, este posibil sa fii infectat cu un virus care ti-a infectat fisierele executabile (posibil si alte fisiere: .dll) sau iti blocheaza accesul la acestea…. Ai vreun antivirus instalat? Iti recomand sa incerci sa scanezi cu un utilitar gen Kaspersky Virus Removal Tool din SAFE MODE. Daca nu poti din Safe Mode atunci trebuie sa boot-ezi cu un utilitar antivirus din DOS… incearca cu Hirens Boot CD sau daca ai Avast-ul instalat incearca optiunea Boot Scan…
Succes
Am si eu o intrebare. la reinstalare de windows, cu tot cu formatare la partitie ( doar cea in care am windowsul ) virusul sality dispare ?
Alexandru, raspunsul este Da si Nu. Da, dispare din partitia sistem, deoarece nu este un virus de boot, si Nu, deoarece ramane activ pe cealalta partitie, fiind foarte usor sa te reinfectezi dupa instalarea curata… in primul rand pentru ca nu ai niciun antivirus. Este adevarat ca virusul nu va fi rezident in memorie dar trebuie sa fii foarte atent. Eu am reusit sa inlatur cu succes acest virus montand hdd-ul infectat pe un rack usb in alt calculator si scanand apoi cu kaspersky 2011… desinfect/delete. Este adevarat ca dureaza destul de mult (pt. un hdd de 250Gb aprox. 2-3 ore) dar este usor si sigur. (“Sigur” daca aveti si autorun.inf dezactivat). Succes!!!
@Dan :
multumesc pentru raspuns…dar…
cu toate ca nu am hard’ul mare ( doar de 80gb ) si a 2’a partitie de doar 55 de gb, majoritatea sunt lucruri importante si nu am timpul necesar sa pun undeva la 35-40 de gb pe DVD’uri pentru a formata partitia . Am scanat cu Nod32’u si am reusit sa sterg vreo 30 de fisiere infectate ( nu toate cu sality ) . La urmatoarea scanare nu a mai gasit nimic (sper sa fie ok acum ) …
Spuneai ceva de ” rack usb “… poti sa explici sau sa detaliezi putin ?
Ai in poza de mai jos jucaria pe care mi-am achizitionat-o de curand… nu este cea mai buna dar este ieftina…
http://blog.atweb.ro/wp-content/gallery/diverse/digitus_usb_to_ide_and_sata_hdd_adapter.jpg
Iti conectezi HDD-ul la un alt calculator si nu conteaza ca e de 3,5 inch sau 2,5 inch, IDE sau SATA… cu aceasta jucarie te descurci de minune.
Succes.
Cea mai desteapta metoda de a scapa de SALITY! (care se gaseste in hackuri in special pentru jocuri gen valeu… METIN2!!!!) este sa dati un scan cu removerul de la avg nu din prima cu AVIRA CA VA STERGE CU TOTUL VIRUSUL DIN FISIERE SI RAMANETI FARA FISIERE SAU PROGRAME) dupa ce s-a terminat scanarea cu avg remover o sa vedeti ca tot rau este (nu e task mng regedit etc.) dati scan cu avira si stergeti toti virusii (printre care NU-Sality.. pentru ca nu o sa va mai apara) dati delete nu carantina! bafta
Excelente sfaturi! Am trecut prin toate “nenorocirile” prezentate aici. M-a ajutat Avast.Dupa formatare, instalare net, preluare Free Avast, scanare inainte de bootare. Felicitari pentru sfaturi!
Revin, la mine a aparut virusul si sub denumirea KUKACKA (Parca intentionata denumire!)
azi am facut cea mai mare prostie din viata mea . am accesat un fisier primit pe mail si l-am dezarhivat. si in el era sality . la scanare a iesit ca este in C in adobe setup .este posibil sa fi ajuns si in alta parte?
Alex, incearca o scanare full cu kaspersky si eventual ComboFix… Succes
app. am scanat folderul cu virusi .. si mia gazit fisiere infectate doar numai .exe … daca leam deschis atini sa invefectat ? sau aca nu le deschid … nu patesc nik ?
sper sa mearga in cazul daca nu mil citeste si da eraoare cu win32
Cu avira , pot oare sa resusesc sa sterg accest virus ?
[…] executabilele din pc, de la windows la kituri de programe si jocuri. Se poate dezinfecta totusi: Virus Win32.Sality – metode de dezinfectare | Antivirus | Blog ATWEB Nimãnui nu-i pasã de semnãtura ta […]
Daca dezinfectia nu merge (fails), sa restartez windowsul???
Eu acuma rulez antivirusu, da intreb ca sa stiu din timp daca se poate.
multumesc anticipat:)
*reinstalez vroiam sa spun