Sality病毒详解_第1页
Sality病毒详解_第2页
Sality病毒详解_第3页
Sality病毒详解_第4页
Sality病毒详解_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、感染型病毒是病毒家族中的一位重要成员,相对于其他病毒来说他们的破坏力更大,因为一旦被他们感染,我们电脑上的大部分文件都会被感染成病毒文件。轻则机器卡,各种游戏账号被盗,重则任何软件都无法使用,只能重装系统。说到感染型病毒,就不得不提 Sality 了,这位影响深远的感染型病毒 大户。下面就针对Sality的情况给大家做一下简单介绍。什么是Sality 病毒?它有哪些危害?Sality病毒是一种多态的感染型病毒。病毒运行后,会终止安全相关软件和服务,感染系统内的exe和scr文件。并且注入病毒线程到所有进程中,在后台下载病毒到系统。同时它创建自身拷贝到可移动设备或者网络共享中,以达到传播的目的。

2、 此外,部分病毒变种还会收集被感染系统信息,并发送的到指定的网址。Sality病毒是如何破坏系统的?感染以后有什么表现?1.修改注册表来设置隐藏文件不可见文件夹选项常规 查看 立件类型II尻机文件I文件央视图,瞥可以将出在却优在使用国视的例如详期其信息或鞘迨南颛褚洋黑 .3 1 10 u iiETn1I,ju nj n f_,更令蟠型注喇重置所有夏件夹也r高级试置:一回鼠标揩向立伴灵和桌面项时显示提示信息口显示系统立件典的内容回隐藏受保护的噪作系统文件能荐)二)隈病文件和文件夹®不显示想薄的文件和文伴夹。丁显言所有文件和文件平区隈藏已知文件类型的扩展名0用彩色显示加密或压缩的WTFS

3、文怦荏标题法显示完整路径在单独的迸程中打开文件夹窗口匚在登录时还原上一个文件夹窗口v|还原为默认值名J 确定取消 2.通过设置“EnableLUA'禁用 UAC ,关闭windows自动更新自动更强3.4.禁用Windows安全程序和防火墙病毒会删除以下注册表中”安全模式“相关的项,使系统无法进入安全模式HKEYLOCALMACHINESYSTEMCurrentControlSetControlSafeboot创建注册表键值来禁用Windows Security和防火墙。5.禁用任务管理器和注册表编辑器和其他的病毒相似,Sality也会禁用任务管理器和注册表编辑器。当用户打算打开以上应

4、用程序,将会出现以下错误信息:任务笥理器任喏管理需已被系统管理员停用口7.6. 病毒将被自己感染的程序添加到防火墙白名单,防止自己的网络通信被阻止在%WinDir%system.ini中添加配置信息小systo记事本rznorx文件色编辑0晒查看要帮助出):for 16-bit app support小driuer5 ifdue=nmdt u.dll timer=tiiner. dmmcidriuer32386enh4口秆口nt = mp”36. FDNEGASaVOA .FOM=EGftaWOA.FDH EGA4BIMA.FOIHEGA40IIOA.FON ccneouon.F0M=CGA8

5、auoa.F0NCCAl|OlinA.FOH=CGfti49UOA.FONMCIDRUJIEHD'EUICEHB-649 8C11«76_8. 释放驱动“随机文件名.sys ”至ij %System%drivers ,并加载启动9. 共享文件夹及其子文件夹下存在未知的LNK和TMP文件新的SALITY变种会利用最新的Windows快捷方式漏洞。另外一种可能感染此病毒的特征为在网络共享中存在恶意的LNK?口 TMP文件Addrw | q CSharedFiWP小17君 372 .trnpP aris Mil tm召其 Archive10. 存在恶意的AUTORUN.INF病毒将

6、创建一个病毒母体文件的拷贝和自动执行该母体文件的AUTORUN.INF所有驱动器.当你进入被感染驱动器后,就会自动执行病毒。这个恶意的AUTORUN.IN包含以下内容:P" dutonin.iiiF - Notepad网a Edit Formal: Vievj Help|AUtCRLinI13tieLnoPEtJcommaMd = j 0ui ya . exeIOpEn = jouiya.exe;traeFwcutidUbCylct bmHxDDRFVivi A P工E she110p£ nD a U LT =1;keCOn MWTwh gkFq MqYjYeshel -I

7、XPLoRexommaNcl =j out ya. arhEllVL'TOpL A,yconMariD = j 0u1/a,11. 删除临时文件中所有的“ .exe”和“.rar ”文件。12. 后台下载病毒,将下载到的文件保存到temp%win%s.exe并执行。13. 关闭并删除指定的服务。14. 检测并关闭指定的进程。15. 搜索并删除所有特殊后缀的文件。例如:.drw、.VDB .AVC16. 遍历系统内所有文件,针对大小在 1000B 1400000B之间的exe文件进行感染。Sality病毒的特性-复杂多变1. Sality的感染代码采用了多态变形加密,这使得每一次感染文件

8、所产生的代码都不相同。无法通过直接提取代码特征来进行判断和修复。2. 病毒在执行的时候,是边解密,边执行。加密算法随机变化。另外,病毒代码包含大量无用跳转和rep等指令,进行大量重复无用的循环和跳转。 这 给文件的修复带来了一定的困难。对于如此顽固的感染型病毒,普通的杀毒软件只能束手就擒,即使发现 了也无法修复被感染的文件,而是粗暴的将文件直接删除。如果我们重要的文档资料或者刚下载的高清电影或游戏,不幸被感染了, 难道我们只能忍痛割爱,将文件直接删掉吗?当然不是,因为有霸哥在,这都不是事。新毒霸SP5.1增强了对Sality病毒的查杀和被感染文件的完美修复。小伙伴们再也不用为自己的文件中了感染型病毒而左右为难了。快来试试吧!H描T宾成,共发现16惊减胁,请守即卧厚!已与病考多 $1扫盲F间 m幽 后挥湮率 个更匕洋12即匕翼百不姓瞪立即升,如果你发现自己的电脑具有如

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论