Sality is een familie van bestand-infecterende schadelijke software die Windows-computers treft door infecties door EXE- en SCR-bestanden te verspreiden.
Sality, dat oorspronkelijk in Rusland is begonnen, is in de loop der jaren enorm geëvolueerd, dus verschillende varianten van de malware vertonen verschillende kenmerken. De meeste Sality-varianten zijn echter wormen omdat ze een of andere vorm van autorun-functionaliteit gebruiken om uitvoerbare bestanden te infecteren via verwisselbare of detecteerbare stations.
Sommigen zijn zelfs Sality-botnets die geïnfecteerde machines met hun eigen P2P-netwerk verbinden, zodat de computers als geheel helpen bij het stelen van privégegevens, kraken van wachtwoorden, het verzenden van spam en meer.
Het Sality-virus kan ook een Trojan-downloader bevatten die extra malware via internet installeert, en een keylogger die toetsaanslagen controleert en registreert.
Notitie: Sommige antivirusprogramma's verwijzen naar de Sality-virussen met andere namen zoals SaILoad, SaliCode, Kookoo en Kukacka.
Hoe het werkt
Zoals hierboven vermeld, infecteert de Sality-malware uitvoerbare bestanden op de geïnfecteerde computer.
De meeste versies van de malware plaatsen een speciaal DLL-bestand op de computer in de %SYSTEEM% map en kan het "wmdrtc32.dll" of, voor de gecomprimeerde versie, "wmdrtc32.dl_."
Niet alle varianten van het Sality-virus zullen op deze manier een DLL-bestand gebruiken. Sommigen laden de code rechtstreeks in het geheugen en het DLL-bestand zal nergens in de eigenlijke schijfbestanden worden gevonden.
Anderen kunnen zelfs een apparaatstuurprogramma opslaan in de % System% drivers map. Wat dit lastig maakt is dat het kan worden opgeslagen met een willekeurige bestandsnaam, dus als je antivirussoftware alleen bestandsnamen leest om te controleren op virussen, en niet de inhoud van het bestand, is de kans groot dat het het Sality-virus niet raakt .
Updates van de Sality-malware worden via HTTP via gedecentraliseerde lijsten met URL's gevoed. Eenmaal geïnfecteerd, hoeft de malware alleen achter de schermen om updates te vragen om zichzelf te transformeren en te laten groeien, om nieuwe bestanden te downloaden om andere computers te infecteren.
Tekenen van infectie
Het is belangrijk om op de hoogte te zijn van de symptomen van een Sality-virusinfectie - wat uw computer kan doen of hoe deze kan presteren als het Sality-virus aanwezig is.
Zoals met veel andere malware, kan Sality een van de volgende dingen doen:
- Schakel antivirussoftware uit en voorkom toegang tot bepaalde antivirus- en beveiligingswebsites.
- Voorkom opstarten in Veilige modus.
- Verwijder beveiligingsgerelateerde bestanden, processen en / of services.
- Sla een CMD-, PIF- en / of EXE-bestand op in de hoofdmap van vindbare stations, samen met een autorun.inf-bestand dat instructies bevat voor het laden van de neergezette bestanden wanneer het station wordt gebruikt.
- Stuur spam naar uw e-mailcontactpersonen door het adresboek van uw e-mailclient te openen.
- Verwijder bestanden die een bepaalde bestandsextensie bevatten.
Hoe te verwijderen
De beste manier om een Sality-virusinfectie te voorkomen, is om uw computer up-to-date te houden met de nieuwste patches en beveiligingsdefinities. Gebruik Windows Update en houd uw antivirussoftware bijgewerkt om deze aanval te helpen tegenwerken.
Als je al weet dat je het Sality-virus hebt, kun je het op dezelfde manier kwijtraken. Scan uw computer op malware met een bijgewerkte en capabele antivirussoftware. Misschien heb je wel geluk met het gebruik van een spyware-remover om het Sality-virus te vangen, omdat het ook als spyware functioneert. Als deze niet werken of als u geen normale toegang tot Windows hebt, gebruikt u in plaats daarvan een opstartbaar antivirusprogramma.
Sommige antivirus-leveranciers bevatten een speciale tool die specifiek is bedoeld voor het omgaan met het Sality-virus. AVG biedt bijvoorbeeld een populair gratis antivirusprogramma, maar ze bevatten ook Sality Fix dat u gratis kunt downloaden om het Sality-virus automatisch te verwijderen. Met Kaspersky kunt u de gratis SalityKiller-tool gebruiken.
Als een bestand is geïnfecteerd met Sality, moet de software het bestand opschonen. Als andere malware wordt gevonden, probeer dan het virus te verwijderen of de aanbevolen actie door de scanner uit te voeren.
Sommige antivirusprogramma's detecteren het Sality-virus mogelijk niet. Als u vermoedt dat u het virus heeft, maar uw beveiligingssoftware vindt het niet, probeer het dan te uploaden naar VirusTotal om een online scan te doen met verschillende scanengines.
Een andere optie is om de virusbestanden handmatig te verwijderen door op de computer te zoeken met een tool voor het zoeken naar bestanden, zoals Alles. Er is echter een grote kans dat de bestanden vergrendeld zijn voor gebruik en niet op een normale manier kunnen worden verwijderd. Antivirusprogramma's kunnen dit meestal voorkomen door de malware te plannen voor verwijdering wanneer de computer wordt afgesloten.
Wat te doen Volgende
Als u zeker weet dat het Sality-virus is verwijderd, kunt u autorun uitschakelen om herinfectie via USB-stations te voorkomen.
Het is ook belangrijk om de wachtwoorden te wijzigen in online accounts die u tijdens de infectie hebt gebruikt. Als het Sality-virus uw toetsaanslagen aan het vastleggen was, is de kans groot dat het uw bankgegevens, inloggegevens voor sociale media, e-mailwachtwoord, enz. Heeft geregistreerd. Veranderende wachtwoorden ( nadat de infectie is verdwenen ) en het controleren van uw accounts op diefstal is een belangrijke stap.
Installeer een altijd-aan, altijd-updaten, gemakkelijk te gebruiken antivirusprogramma zodat het minder waarschijnlijk is dat dit opnieuw zal gebeuren. Zorg ervoor dat het verwijderbare stations op malware kan controleren en geplande scans kan instellen om periodiek alle soorten malware te controleren, niet alleen voor het Sality-virus.
