Sality是一个文件感染恶意软件系列,它通过EXE和SCR文件传播感染来影响Windows计算机。
最初可能在俄罗斯开始的Sality多年来发展很多,因此恶意软件的不同变体表现出不同的特征。但是,大多数Sality变体都是蠕虫,因为它们使用某种形式的自动运行功能通过可移动或可发现的驱动器感染可执行文件。
有些甚至是Sality僵尸网络,它们将受感染的计算机加入到自己的P2P网络中,这样整个计算机就可以帮助解决诸如窃取私人数据,破解密码,发送垃圾邮件等问题。
Sality病毒还可能包括通过互联网安装其他恶意软件的特洛伊木马下载程序,以及监视和记录击键的键盘记录程序。
注意: 一些防病毒程序通过SaILoad,SaliCode,Kookoo和Kukacka等其他名称来引用Sality病毒。
这个怎么运作
如上所述,Sality恶意软件感染受感染计算机上的可执行文件。
大多数版本的恶意软件都会在计算机内部放置一个特殊的DLL文件 %系统% 文件夹,并可能将其称为“wmdrtc32.dll”,或者对于压缩版本,称为“wmdrtc32.dl_”。
但是,并非所有Sality病毒的变种都会以这种方式使用DLL文件。有些将代码直接加载到内存中,并且在实际磁盘文件中的任何位置都找不到DLL文件。
其他人甚至可能会存储设备驱动程序 %SYSTEM% DRIVERS 夹。使这一点变得棘手的原因是它可能以随机文件名存储,因此如果您的防病毒软件只读取文件名以检查病毒而不是文件内容,那么它很可能无法捕获Sality病毒。
Sality恶意软件的更新通过分散的URL列表通过HTTP提供。一旦被感染,恶意软件只需要在后台请求更新以自行转换和增长,以下载新文件以感染其他计算机。
感染的迹象
重要的是要了解Sality病毒感染的症状 - 当Sality病毒存在时,您的计算机可能会做什么或者它可能会如何执行。
与其他许多恶意软件一样,Sality可能会执行以下任何操作:
- 禁用防病毒软件并阻止访问某些防病毒和安全网站。
- 防止启动进入安全模式。
- 删除与安全相关的文件,进程和/或服务。
- 将CMD,PIF和/或EXE文件存储到可发现驱动器的根目录,以及autorun.inf文件,该文件包含在访问驱动器时加载已删除文件的说明。
- 通过访问电子邮件客户端的地址簿向您的电子邮件联系人发送垃圾邮件。
- 删除包含特定文件扩展名的文件。
如何删除
防止Sality病毒感染的最佳方法是使计算机与最新的修补程序和安全定义保持同步。使用Windows Update并更新防病毒软件以帮助阻止此攻击。
如果你已经知道你有Sality病毒,你可以用类似的方式摆脱它。使用更新且功能强大的防病毒软件程序扫描计算机中的恶意软件。您可能很幸运使用间谍软件移除来捕获Sality病毒,因为它也可以充当间谍软件。如果这些不起作用或您无法定期访问Windows,请使用可启动的防病毒程序。
一些防病毒供应商包括专门用于处理Sality病毒的特殊工具。例如,AVG提供了一个流行的免费防病毒程序,但它们还包括Sality Fix,您可以免费下载以自动删除Sality病毒。卡巴斯基允许您使用免费的SalityKiller工具。
如果发现文件被Sality感染,请允许软件清理该文件。如果发现其他恶意软件,请尝试删除病毒或通过扫描程序采取建议的操作。
某些防病毒程序可能无法检测到Sality病毒。如果您怀疑自己有病毒但安全软件没有找到它,请尝试将其上传到VirusTotal以使用各种扫描引擎进行在线扫描。
另一种选择是通过使用像Everything这样的文件搜索工具在计算机上搜索来手动删除病毒文件。但是,文件很可能会被锁定而无法以正常方式删除。防病毒程序通常可以通过在计算机关闭时安排删除恶意软件来避免这种情况。
接下来做什么
如果您确定已删除Sality病毒,则应考虑禁用自动运行以防止通过USB驱动器再次感染。
将密码更改为您在感染期间使用的任何在线帐户也很重要。如果Sality病毒记录了您的击键,那么它很可能会记录您的银行信息,社交媒体凭据,电子邮件密码等。更改这些密码( 感染消失后 )并检查您的帐户是否盗窃是一个重要的步骤。
安装一个永远在线,始终更新,易于使用的防病毒程序,以便不再发生这种情况。确保它可以检查可移动驱动器是否存在恶意软件,并设置计划扫描以定期检查所有类型的恶意软件,而不仅仅是Sality病毒。
