Security Lab

Virus.Win32.Sality.e

Virus.Win32.Sality.e

Компьютерный вирус. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR.

Компьютерный вирус. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR. Упакован UPX.
name="doc10">Проявление в системе
  • Появление сообщений с текстом «<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>»
  • Если тип операционной системы — Windows 2000/XP , то частые появления сообщений системы защиты файлов Windows о нераспознанных версиях системных файлов Windows.
  • Увеличение размеров EXE и SCR файлов.
  • Возможно пропадание закладки «Версия» в окне со свойством файла (появляется при выборе соответствующего пункта в контекстном меню), в случае, если до этого эта закладка существовала.
  • Изменение расширений у файлов с расширениями EXE и SCR на случайное расширение.
  • Появление скрытых файлов с расширениями вида ~01 (если они не созданы пользователем) в каталоге, в котором присутствует файл с тем же именем и расширением EXE.
  • При запуске файла, поражённого вирусом, при отсутствии выполняющейся другой копии вируса, в списке процессов появляется два процесса: имя_файла.EXE и имя_файла.~01.
name="doc3">Деструктивная активность

При запуске инфицированного файла вирус копирует запущенный файл в скрытый файл с идентичным именем, в котором последние 3 символа расширения заменены на строку вида «~01» (последние 2 символа — счётчик; если файл с таким именем существует, и попытка удалить его не удалась, счётчик увеличивается и попытка повторяется).

Если не получилось скопировать файл в текущий каталог (например, если файл находится на CDROM), вирус пытается скопировать файл во временный каталог, определяемый настройками системы (%TEMP%); в случае неудачи и этой попытки выводится сообщение «Fatal Error. Disk is write-protected.».

В случае удачного копирования, созданный файл лечится и запускается на выполнение с теми же параметрами командной строки, что и оригинальный файл.

После этого проверяется, существует ли в системе окно с заголовком «DEAD». Если такое окно существует, то ему передаётся строка с именем временного уже вылеченного файла. Имя файла передаётся с целью его последующего удаления. Если такого окна не существует, то оно создаётся, и запускается поток, инфицирующий файлы. Через каждые 5 секунд вирус пытается удалить созданный им во время лечения временный файл и файлы, созданные другими копиями вируса. Таким образом, в системе присутствует не более одного процесса, инфицирующего файлы данным вирусом. Этот процесс также удаляет временные файлы, созданные другими копиями вируса во время лечения.

Перед завершением работы вируса, если текущее число месяца — 10, 11, или 12-е, то выводится сообщение с заголовком:

Win32.HLLP.Kuku v1.09

И текстом:

<<<<< Hey, Lamer! Say "Bye-bye" to your data! >>>>>
Copyright (c) by Sector

В ходе выполнения потока, инфицирующего файлы, производится поиск доступных для записи дисков с именами: C:, D:, ..., X:. Для всех найденных дисков запускается процедура инфицирования файлов. Данная процедура рекурсивно просматривает дерево каталогов заданного диска в поисках файлов с расширениями EXE и SCR. В каждом каталоге пытается инфицировать не более 5 файлов. На каждом диске вирус пытается инфицировать не более 15 файлов. Во время поиска файлов периодически происходят небольшие задержки.

Файлы не инфицируются в следующих случаях:

  1. размер файла меньше 17369 байт;
  2. размер файла больше 5210399 байт;
  3. содержат в своём имени строки «EXPLORER», «RUNDLL»;
  4. содержатся в папке, имеющей в своём имени подстроку «SYSTEM»;
  5. файл не является PE EXE файлом Windows;
  6. файл уже заражён этим вирусом (определяется по наличию сигнатуры 00000011h на смещении 320h от начала файла). При этом сравнение строк производится с учётом регистра символов, т.е. файл с именем explorer.exe инфицируется.

После просмотра всех дисков, если все временные файлы удалены, окно закрывается.

При заражении файлов время создания, время последнего доступа и время последней записи в файл не меняются. Во время заражения тело вируса изменяется так, что заражённому файлу соответствует тот же значок, что и исходному. На время заражения файл переименовывается в файл с тем же именем, что и исходный, и расширением, случайно сгенерированным из 3-х больших английских букв. В случае ошибки во время инфицирования (например, невозможности произвести запись в файл) файл обратно не переименовывается. В следствие этого файлы, выполняющиеся во время попытки их заражения, остаются не заражёнными, но переименованными. Это может привести к невозможности запуска оболочки операционной системы (файл explorer.exe) после перезагрузки и другим нежелательным последствиям.

При инфицировании тело вируса записывается в начало файла, данные из начала файла, которые были на этом месте шифруются и записываются в конец файла. После этого в конец файла записывается случайное число байт от 1000 до 2999. Таким образом, размер файла увеличивается на случайное число байт в диапазоне от 18368 до 20367.

Другие названия
Virus.Win32.Sality.e ( «Лаборатория Касперского» ) также известен как: Win32.Sality.e ( «Лаборатория Касперского» ), W32/Sality.f ( McAfee ),   W32.HLLP.Sality ( Symantec ),   Win32.HLLP.Sector.17368 ( Doctor Web ),   W32/Sality-F ( Sophos ),   Win32/Sality.F ( RAV ),   PE_ROSEC.A ( Trend Micro ),   W32/Sality.E ( FRISK ),   Win32:Rosec ( ALWIL ),   Win32/Sality.E ( Grisoft ),   Win32.HLLP.Sality.E ( SOFTWIN ),   W32/Sality.G ( Panda ),   Win32/Sality.F ( Eset )

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!