O Sality é uma família de softwares mal – intencionados que infectam arquivos e afeta os computadores Windows ao espalhar infecções por arquivos EXE e SCR. O Sality, que pode ter começado originalmente na Rússia, evoluiu muito ao longo dos anos, portanto variações diferentes do malware exibem características diferentes. No entanto, a maioria das variantes de Salidade são worms , pois usam alguma forma de funcionalidade de execução automática para infectar arquivos executáveis por meio de unidades removíveis ou detectáveis.
Alguns são até mesmo botnets Sality que conectam máquinas infectadas à sua própria rede P2P, de modo que os computadores como um todo ajudam a facilitar coisas como roubar dados privados , quebrar senhas, enviar spam e muito mais.
O vírus Sality também pode incluir um Trojan Downloader que instala malwares adicionais pela Internet e um keylogger que monitora e registra as teclas digitadas.
Nota: Alguns programas antivírus referem-se aos vírus Sality por outros nomes como SaILoad, SaliCode, Kookoo e Kukacka.
Como funciona
Como mencionado acima, o malware Sality infecta arquivos executáveis no computador infectado.
A maioria das versões do malware coloca um arquivo DLL especial no computador dentro da pasta % SYSTEM% e pode chamá-lo de “wmdrtc32.dll” ou, para a versão compactada, “wmdrtc32.dl_”.
No entanto, nem todas as variantes do vírus Sality usarão um arquivo DLL dessa maneira. Alguns carregam o código diretamente na memória e o arquivo DLL não será encontrado em nenhum lugar nos arquivos de disco reais.
Outros podem até mesmo armazenar um driver de dispositivo na pasta % SYSTEM% \ drivers . O que torna isso complicado é que ele pode ser armazenado com um nome de arquivo aleatório, portanto, se o seu software antivírus só ler nomes de arquivos para verificar vírus, e não o conteúdo do arquivo, há uma boa chance de não detectar o vírus Sality. .
As atualizações do malware Sality são alimentadas via HTTP por meio de listas descentralizadas de URLs . Uma vez infectado, o malware só precisa solicitar atualizações nos bastidores para se transformar e crescer por conta própria, para baixar novos arquivos para infectar outros computadores.
Sinais de Infecção
É importante estar ciente dos sintomas de uma infecção pelo vírus Sality – o que seu computador pode fazer ou como ele pode funcionar quando o vírus Sality está presente.
Como acontece com muitos outros malwares, o Sality pode fazer o seguinte:
- Desabilite o software antivírus e impeça o acesso a determinados sites antivírus e de segurança.
- Impedir a inicialização no modo de segurança .
- Remova arquivos, processos e / ou serviços relacionados à segurança.
- Armazene um arquivo CMD, PIF e / ou EXE na raiz das unidades detectáveis, junto com um arquivo autorun.inf que contém instruções para carregar os arquivos descartados quando a unidade é acessada.
- Envie spam para seus contatos de e-mail acessando o catálogo de endereços do seu cliente de e-mail.
- Exclua arquivos que contenham uma certa extensão de arquivo .
Como excluir
A melhor maneira de evitar uma infecção pelo vírus Sality é manter seu computador atualizado com os patches e as definições de segurança mais recentes . Use o Windows Update e mantenha seu software antivírus atualizado para ajudar a impedir esse ataque.
Se você já sabe que tem o vírus Sality, pode eliminá-lo de maneira semelhante. Analise o seu computador em busca de malware com um programa de software antivírus atualizado e eficiente . Você pode ter sorte usando um removedor de spyware para capturar o vírus Sality, pois ele também funciona como spyware. Se isso não funcionar ou se você não tiver acesso regular ao Windows, use um programa antivírus inicializável .
Alguns fornecedores de antivírus incluem uma ferramenta especial destinada especificamente a lidar com o vírus Sality. Por exemplo, o AVG oferece um programa antivírus gratuito popular, mas eles também incluem o Sality Fix que você pode baixar gratuitamente para remover o vírus Sality automaticamente. Kaspersky permite que você use a ferramenta gratuita SalityKiller .
Se um arquivo for encontrado infectado com o Sality, permita que o software limpe o arquivo. Se outro malware for encontrado, tente excluir o vírus ou executar a ação recomendada pelo scanner.
Alguns programas antivírus podem não detectar o vírus Sality. Se você suspeitar que tem o vírus, mas o software de segurança não o encontrar, tente enviá-lo para o VirusTotal para fazer uma verificação on-line com vários mecanismos de verificação.
Outra opção é excluir manualmente os arquivos de vírus, pesquisando no computador com uma ferramenta de pesquisa de arquivos como Tudo . No entanto, há uma boa chance de os arquivos serem bloqueados e não poderem ser removidos de maneira normal. Os programas antivírus geralmente podem evitar isso agendando o malware para exclusão quando o computador é desligado.
O que fazer a seguir
Se você tiver certeza de que o vírus Sality foi removido, considere a possibilidade de desabilitar a execução automática para evitar uma reinfecção por meio de unidades USB .
Também é importante alterar as senhas para qualquer conta online usada durante o período da infecção. Se o vírus Sality estava registrando suas teclas digitadas, há uma boa chance de que ele registre suas informações bancárias, credenciais de mídia social, senha de e-mail, etc. A alteração dessas senhas ( após a infecção ter desaparecido ) e a verificação de roubo de contas é um passo importante .
Instale um programa antivírus sempre ativo, sempre atualizável e fácil de usar, para que seja menos provável que isso ocorra novamente. Verifique se ele pode verificar se há unidades removíveis em busca de malware e configurar verificações agendadas para verificar periodicamente se há malware de todos os tipos, não apenas para o vírus Sality.
