Sality é uma família de softwares mal-intencionados que infecta arquivos e afeta os computadores Windows, disseminando infecções por arquivos EXE e SCR.
O Sality, que pode ter começado originalmente na Rússia, evoluiu muito ao longo dos anos, portanto variações diferentes do malware exibem características diferentes. No entanto, a maioria das variantes de Salidade são worms, pois usam alguma forma de funcionalidade de execução automática para infectar arquivos executáveis por meio de unidades removíveis ou detectáveis.
Alguns são até mesmo botnets Sality que conectam máquinas infectadas à sua própria rede P2P, de modo que os computadores como um todo ajudam a facilitar coisas como roubar dados privados, quebrar senhas, enviar spam e muito mais.
O vírus Sality também pode incluir um Trojan Downloader que instala malwares adicionais pela Internet e um keylogger que monitora e registra as teclas digitadas.
Nota: Alguns programas antivírus referem-se aos vírus Sality por outros nomes como SaILoad, SaliCode, Kookoo e Kukacka.
Como funciona
Como mencionado acima, o malware Sality infecta arquivos executáveis no computador infectado.
A maioria das versões do malware coloca um arquivo DLL especial no computador dentro do %SISTEMA% pasta e pode chamá-lo "wmdrtc32.dll" ou, para a versão compactada, "wmdrtc32.dl_".
No entanto, nem todas as variantes do vírus Sality usarão um arquivo DLL dessa maneira. Alguns carregam o código diretamente na memória e o arquivo DLL não será encontrado em nenhum lugar nos arquivos de disco reais.
Outros podem até armazenar um driver de dispositivo no % SYSTEM% drivers pasta. O que torna isso complicado é que ele pode ser armazenado com um nome de arquivo aleatório, portanto, se o seu software antivírus só ler nomes de arquivos para verificar vírus, e não o conteúdo do arquivo, há uma boa chance de não detectar o vírus Sality. .
As atualizações do malware Sality são alimentadas via HTTP por meio de listas descentralizadas de URLs. Uma vez infectado, o malware só precisa solicitar atualizações nos bastidores para se transformar e crescer por conta própria, para baixar novos arquivos para infectar outros computadores.
Sinais de Infecção
É importante estar ciente dos sintomas de uma infecção pelo vírus Sality - o que seu computador pode fazer ou como ele pode funcionar quando o vírus Sality está presente.
Como acontece com muitos outros malwares, o Sality pode fazer o seguinte:
- Desabilite o software antivírus e impeça o acesso a determinados sites antivírus e de segurança.
- Impedir a inicialização no modo de segurança.
- Remova arquivos, processos e / ou serviços relacionados à segurança.
- Armazene um arquivo CMD, PIF e / ou EXE na raiz das unidades detectáveis, junto com um arquivo autorun.inf que contém instruções para carregar os arquivos descartados quando a unidade é acessada.
- Envie spam para seus contatos de e-mail acessando o catálogo de endereços do seu cliente de e-mail.
- Exclua arquivos que contenham uma certa extensão de arquivo.
Como excluir
A melhor maneira de evitar uma infecção pelo vírus Sality é manter seu computador atualizado com os patches e as definições de segurança mais recentes. Use o Windows Update e mantenha seu software antivírus atualizado para ajudar a impedir esse ataque.
Se você já sabe que tem o vírus Sality, pode eliminá-lo de maneira semelhante. Analise o seu computador em busca de malware com um programa de software antivírus atualizado e eficiente. Você pode ter sorte usando um removedor de spyware para capturar o vírus Sality, pois ele também funciona como spyware. Se isso não funcionar ou se você não tiver acesso regular ao Windows, use um programa antivírus inicializável.
Alguns fornecedores de antivírus incluem uma ferramenta especial destinada especificamente a lidar com o vírus Sality. Por exemplo, o AVG oferece um programa antivírus gratuito popular, mas eles também incluem o Sality Fix que você pode baixar gratuitamente para remover o vírus Sality automaticamente. Kaspersky permite que você use a ferramenta gratuita SalityKiller.
Se um arquivo for encontrado infectado com o Sality, permita que o software limpe o arquivo. Se outro malware for encontrado, tente excluir o vírus ou executar a ação recomendada pelo scanner.
Alguns programas antivírus podem não detectar o vírus Sality. Se você suspeitar que tem o vírus, mas o software de segurança não o encontrar, tente enviá-lo para o VirusTotal para fazer uma verificação on-line com vários mecanismos de verificação.
Outra opção é excluir manualmente os arquivos de vírus, pesquisando no computador com uma ferramenta de pesquisa de arquivos como Tudo. No entanto, há uma boa chance de os arquivos serem bloqueados e não poderem ser removidos de maneira normal. Os programas antivírus geralmente podem evitar isso agendando o malware para exclusão quando o computador é desligado.
O que fazer a seguir
Se você tiver certeza de que o vírus Sality foi removido, considere a possibilidade de desabilitar a execução automática para evitar uma reinfecção por meio de unidades USB.
Também é importante alterar as senhas para qualquer conta online usada durante o período da infecção. Se o vírus Sality estava registrando suas teclas digitadas, há uma boa chance de que ele registre suas informações bancárias, credenciais de mídia social, senha de e-mail, etc. Alterando essas senhas ( depois que a infecção se foi ) e verificar suas contas por roubo é um passo importante.
Instale um programa antivírus sempre ativo, sempre atualizável e fácil de usar, para que seja menos provável que isso ocorra novamente. Verifique se ele pode verificar se há unidades removíveis em busca de malware e configurar verificações agendadas para verificar periodicamente se há malware de todos os tipos, não apenas para o vírus Sality.
