سلام به همه .
این چند وقت خیلی از بچه ها در مورد این ویروس سوال پرسیدن گفتم بهتره یه پست بهش اختصاص بدیم تا همه بیان و مشکلاتشون رو بیان کنن.
ویروس sality یه Pe Appendه که این روزها خیلی شیوع پیدا کرده.این ویروس خودش رو به صورت یه درایور نصب میکنه(به گفته نود (IpFilterDriver (IP Traffic Filter Driver
تنها چیزی که من دیدم بعد از ویروس گرفتن این سرویس فعال میشه!!) بهمین خاطره که پروسزش رو نمیتونید ببینید تنها چیزی که میبینید اجرای همزمان یا رندوم واره پروسز های NotePad , Cmd , TelNet , Write , RegEdt32 هست!!!
ویروسهایی که خوشون رو به فایلهای exe میچسبونن تا اینجایی که من میدونم TrendMicro بهشون Pe Append میگه. وقتی شما می خواهید فایلی رو که به این ویروس مبتلا شده است رو اجرا کنید این ویروس خودش رو از فایل آلوده جدا و در مسیر های متفاوتی مثل WinDir یا Temp می ندازه (Drop) بعد فایل الوده رو اجرا میکنه طوری که انگار ویروسی در کار نبوده! برای این ویروس در سایتهای مختلف موارد متفاوتی گفته شده :
It drops the following files in the Windows system folder:
و
ay drop a .dll file the %System% or %Temp% folders. The following are some examples of the filenames:
- SYSLIB32.DLL
- OLEDSP32.DLL
- SYSDLL.DLL
- OLEMDB32.DLL
bitdefender:
Win32.Sality.M is a polymorphic file infector that affects PE executable files. When an infected executable has been run, it drops the following files:
%system%\vcmgcd32.dll
%system%\vcmgcd32.dl_
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
eset:
When executed the virus drops in folder %system%\drivers\ the following file:%variable%.sys (5941 B)
%variable% stands for a random text.
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
برای فهم بهتر موضوع برا بچه های که کمی برنامه نویسی خوندن سورس پاسکال تابع Append و Drop ویروس Virus.Win32.Delf.b که یه pe append است رو در زیر گذاشتم :
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
ویروس sality مثل بقیه pe Append ها از این نحوه کد نویسی پیروی میکنه و خودش رو با حجم 56کیلو به exe های سیستم اضافه میکنه.
به گفته trendMicro این ویروس فایلهای
It infects files of the following type(s):
It avoids folders with the following strings:
برگرفته از مسیر
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و Symantec
May delete the files which have the following extensions when searching for files to infect:
بر گرفته از مسیر http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=2
تحت تاثیر قرار میده.
این ویروس به آنتی ویروس اجازه نصب سرویسش رو نمی ده که در نتیجه انتی ویروس نمی
تواند به درستی نصب گردد.
قبلا در راه حل مقابله با این ویروس گفته بودم هاردتون رو جدا کنید و OfficeScan از TrenMicro رو روی یه سیستم دیگه نصب کنید و جستجو کنید....
این ویروس مدل های متفاوتی داره که مدل جدیدش با اپدیت 8.2008 به گفته trendmicro حل میشه.
آقای مهندس الیاس ملکی معاف در مسیر
http://www.acs.ir/post-48.aspx
اطلاعات جالبی از این ویروس رو قرار داده اند اما بعضی چیزا مثل Autorun و پروسز های گفته شده رو من ندیدم!!
Avg انتی برای Sality انتشار داده که متاسفانه این مدلی که تو بحثمونه رو نمی تونه شناسایی و پاک کنه آخه خودم تست کردم.
اما امروز می خوام یه روش باحال از دوستم TrenMicroبگم.
پاک کردن ویروس Sality ( Remove sality )
روش اول (طولانی و جالب):
به مسیرهای زیر رفته و فایلها را دونلود کرده سپس Extract کنید.
http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-PE_SALITY.zip
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
یه فایل به شکل lptNumber وجود داره که جلوش نوشته مال ویندوزه که number هم نگارش pattern فایلو نشون میده رو بردارید.
لینکه 3 به Pattern spayware اشاره میکنه که فایله ssapiptnNUM.zip (که num نگارش pattern رو نشون میده)رو باید دون کنید بعد از extract فایله ssapiptn.da5 رو SysClean-PE_SALITY\SysClean_PE_SALITY\system\sysclean rvhv nidn.
فایل اول یه برنامه اجرایی عالی از trendMicroست و فایل دوم که Pattern File برنامه اجرایی قبلیست و لیست کلیه ویروسهایی رو داره که تا اکنون توسط trendmicro شناخته شده و راه حل انها ارایه شده است، می باشد.
داخل فایل lptNUMBER.zip فایلی با نام lpt$vpnNUMBER وجود دارد که باید ان را در مسیر
SysClean-PE_SALITY\SysClean_PE_SALITY\system\sysclean
از فایل extract شده اول قرار دهید.
اکنون فایل fix.bat را اجرا کنید تا از قدرت trendMicro آگاه بشید.
اکنون شما در سیستمتون یه آنتی ویروس اپدیت TrendMicroبدون RealTime سرویس دارید.
روش دوم (کوتاه و مختصر):
امروز دیدم که Sality Killer هم کسپر گذاشته.
راستی این لعنتی داره همش نگارش جدید بیرون میده که اگر SalityKiller قدیمی رو داشته باشین نمیتونین باهاش فایلهای خراب شده جدیدتون رو ترمرم کنید.
حتما باید نگارش جدید رو از مسیر زیر بردارید :
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
ه هر حال شما میتونید مستقیما بدون استفاده از TrendMicro و با Sality Killer هم اون از Exe هاتون Clean کنید.] موفق و پیروز باشید.
اینم برای ترمیم رجیستری شما
کد:
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید