salitykiller | tools diệt virus sality
Posted: April 03, 2013
Virus này ăn các phần mềm trong máy mình , với rất nhiều biến thể được nhận định là nguy hiểm hơn nhiều so với đại dịch Conficker. Chúng được biết đến với những tên gọi như: Sality, Win32/Sality, Sality.AA, Sality.AE, Sality.AH, Sality.AM, Sality.AR, Sality.OG.
Sality là dạng virus lây file đa hình và rất phức tạp, chúng bao gồm cả chức năng backdoor và keylock. Khả năng lây nhiễm mạnh và độ nguy hiểm cao, Sality đã được các hãng bảo mật xếp vào hàng virus nguy hiểm nhất trong vài tháng gần đây. Một khi máy tình bị nhiễm Sality thì rất khó diệt, các phần mềm Antivirus nổi tiếng hiện nay đã diệt được nhưng đồng thời sẽ xóa hoàn toàn các file bị nhiễm. Để tránh tình trạng sau khi diệt xong virus sẽ làm hỏng các chương trình, CMC InfoSec đã đưa ra công cụ với cơ chế làm sạch file nhiễm, sau khi quét xong các chương trình vẫn có thể hoạt động bình thường.
Mức độ nguy hiểm
Sality lây nhiễm trên hầu hết tất cả các hệ điều hành thông qua mạng Internet, mạng LAN. Sality lây lan bằng cách nhiễm vào các tệp tin “.exe” trên tất cả các phân vùng ổ đĩa bao gồm cả explorer.exe, uninstall.exe...Một số các tệp tin ứng dụng “.exe” khi bị nhiễm vẫn có thể chạy, nhưng khi chạy chúng sẽ kill các tiến trình đang chạy của những ứng dụng khác hoặc hiển thị các thông báo lỗi. Chúng lây nhiễm tới tập tin “.com”, “.src” và “.dll” trên thư mục Windows thông qua thành phần autorun lây lan từ ổ đĩa rời. Sality sử dụng kỹ thuật Trojan để tải xuống các phần mềm độc hại. Sau khi lây nhiễm, chúng lập tức tấn công vô hiệu hóa các cảnh báo từ trung tâm bảo mật Windows, khóa Task manager, Registry editor, làm mất chức năng hiển thị các file ẩn. Chúng vượt qua hệ thống tường lửa, ngăn cản sự hoạt động của các phần mềm Antivirus, nếu hoạt động được thì không thể phát hiện ra virus Sality hoặc phát hiện ra nhưng không thể diệt được. Sality chặn việc truy nhập vào những trang web bảo mật, đồng thời không cho phép người dùng khởi động từ chế độ Safe Mode. Khi cắm USB vào máy tính, nó sẽ tự tạo file autorun.inf ngẫu nhiên.
Sality giống như một keylogger, thực hiện đánh cắp tên người dùng và mật khẩu sau đó truyền những thông tin này cho một bên thứ ba. Sality cũng như Backdoor mở cửa sau cho tin tặc tấn công từ xa đoạt quyền điều khiển các máy tính bị nhiễm, thực hiện những hoạt động bất hợp pháp.
Sality thực sự là một mối đe dọa nguy hiểm, chúng thường xuyên sản sinh các biến thể mới theo định kỳ. Ngoài ra, tác giả Sality có xu hướng sẽ tiếp tục tạo ra nhiều phần mềm độc hại phức tạp hơn nữa.
Hm. Cũng lâu k để ý vì máy mình "không thể dính". Nhưng khi đi xử lí giúp một máy nhiễm mới biết tới con này!
Sau nửa tiếng quần mỏi tay, cuối cùng cũng xử lí ổn thỏa.
Lãng khách cũng không ngờ lại tồn tại một con virus oái ăm thế. Khóa hoàn toàn Safemode, Regedit. Kill tất cả các AV. Thế thì xử lí bằng tool khác vậy .
Giải pháp xử lý
Tải về tool diệt
Sality là dạng virus lây file đa hình và rất phức tạp, chúng bao gồm cả chức năng backdoor và keylock. Khả năng lây nhiễm mạnh và độ nguy hiểm cao, Sality đã được các hãng bảo mật xếp vào hàng virus nguy hiểm nhất trong vài tháng gần đây. Một khi máy tình bị nhiễm Sality thì rất khó diệt, các phần mềm Antivirus nổi tiếng hiện nay đã diệt được nhưng đồng thời sẽ xóa hoàn toàn các file bị nhiễm. Để tránh tình trạng sau khi diệt xong virus sẽ làm hỏng các chương trình, CMC InfoSec đã đưa ra công cụ với cơ chế làm sạch file nhiễm, sau khi quét xong các chương trình vẫn có thể hoạt động bình thường.
Mức độ nguy hiểm
Sality lây nhiễm trên hầu hết tất cả các hệ điều hành thông qua mạng Internet, mạng LAN. Sality lây lan bằng cách nhiễm vào các tệp tin “.exe” trên tất cả các phân vùng ổ đĩa bao gồm cả explorer.exe, uninstall.exe...Một số các tệp tin ứng dụng “.exe” khi bị nhiễm vẫn có thể chạy, nhưng khi chạy chúng sẽ kill các tiến trình đang chạy của những ứng dụng khác hoặc hiển thị các thông báo lỗi. Chúng lây nhiễm tới tập tin “.com”, “.src” và “.dll” trên thư mục Windows thông qua thành phần autorun lây lan từ ổ đĩa rời. Sality sử dụng kỹ thuật Trojan để tải xuống các phần mềm độc hại. Sau khi lây nhiễm, chúng lập tức tấn công vô hiệu hóa các cảnh báo từ trung tâm bảo mật Windows, khóa Task manager, Registry editor, làm mất chức năng hiển thị các file ẩn. Chúng vượt qua hệ thống tường lửa, ngăn cản sự hoạt động của các phần mềm Antivirus, nếu hoạt động được thì không thể phát hiện ra virus Sality hoặc phát hiện ra nhưng không thể diệt được. Sality chặn việc truy nhập vào những trang web bảo mật, đồng thời không cho phép người dùng khởi động từ chế độ Safe Mode. Khi cắm USB vào máy tính, nó sẽ tự tạo file autorun.inf ngẫu nhiên.
Sality giống như một keylogger, thực hiện đánh cắp tên người dùng và mật khẩu sau đó truyền những thông tin này cho một bên thứ ba. Sality cũng như Backdoor mở cửa sau cho tin tặc tấn công từ xa đoạt quyền điều khiển các máy tính bị nhiễm, thực hiện những hoạt động bất hợp pháp.
Sality thực sự là một mối đe dọa nguy hiểm, chúng thường xuyên sản sinh các biến thể mới theo định kỳ. Ngoài ra, tác giả Sality có xu hướng sẽ tiếp tục tạo ra nhiều phần mềm độc hại phức tạp hơn nữa.
Hm. Cũng lâu k để ý vì máy mình "không thể dính". Nhưng khi đi xử lí giúp một máy nhiễm mới biết tới con này!
Sau nửa tiếng quần mỏi tay, cuối cùng cũng xử lí ổn thỏa.
Lãng khách cũng không ngờ lại tồn tại một con virus oái ăm thế. Khóa hoàn toàn Safemode, Regedit. Kill tất cả các AV. Thế thì xử lí bằng tool khác vậy .
Giải pháp xử lý
Tải về tool diệt