Компьютерный вирус. Является приложением Windows (PE EXE-файл). Инфицирует файлы с расширением EXE и SCR.
name="doc10">Проявление в системе |
name="doc3">Деструктивная активность |
При запуске инфицированного файла вирус копирует запущенный файл в скрытый файл с идентичным именем, в котором последние 3 символа расширения заменены на строку вида «~01» (последние 2 символа — счётчик; если файл с таким именем существует, и попытка удалить его не удалась, счётчик увеличивается и попытка повторяется).
Если не получилось скопировать файл в текущий каталог (например, если файл находится на CDROM), вирус пытается скопировать файл во временный каталог, определяемый настройками системы (%TEMP%); в случае неудачи и этой попытки выводится сообщение «Fatal Error. Disk is write-protected.».
В случае удачного копирования, созданный файл лечится и запускается на выполнение с теми же параметрами командной строки, что и оригинальный файл. После этого проверяется, существует ли в системе окно с заголовком «DEAD». Если такое окно существует, то ему передаётся строка с именем временного уже вылеченного файла. Имя файла передаётся с целью его последующего удаления. Если такого окна не существует, то оно создаётся, и запускается поток, инфицирующий файлы. Через каждые 5 секунд вирус пытается удалить созданный им во время лечения временный файл и файлы, созданные другими копиями вируса. Таким образом, в системе присутствует не более одного процесса, инфицирующего файлы данным вирусом. Этот процесс также удаляет временные файлы, созданные другими копиями вируса во время лечения. Перед завершением работы вируса, если текущее число месяца — 10, 11, или 12-е, то выводится сообщение с заголовком: И текстом: В ходе выполнения потока, инфицирующего файлы, производится поиск доступных для записи дисков с именами: C:, D:, ..., X:. Для всех найденных дисков запускается процедура инфицирования файлов. Данная процедура рекурсивно просматривает дерево каталогов заданного диска в поисках файлов с расширениями EXE и SCR. В каждом каталоге пытается инфицировать не более 5 файлов. На каждом диске вирус пытается инфицировать не более 15 файлов. Во время поиска файлов периодически происходят небольшие задержки. Файлы не инфицируются в следующих случаях: После просмотра всех дисков, если все временные файлы удалены, окно закрывается. При заражении файлов время создания, время последнего доступа и время последней записи в файл не меняются. Во время заражения тело вируса изменяется так, что заражённому файлу соответствует тот же значок, что и исходному. На время заражения файл переименовывается в файл с тем же именем, что и исходный, и расширением, случайно сгенерированным из 3-х больших английских букв. В случае ошибки во время инфицирования (например, невозможности произвести запись в файл) файл обратно не переименовывается. В следствие этого файлы, выполняющиеся во время попытки их заражения, остаются не заражёнными, но переименованными. Это может привести к невозможности запуска оболочки операционной системы (файл explorer.exe) после перезагрузки и другим нежелательным последствиям. При инфицировании тело вируса записывается в начало файла, данные из начала файла, которые были на этом месте шифруются и записываются в конец файла. После этого в конец файла записывается случайное число байт от 1000 до 2999. Таким образом, размер файла увеличивается на случайное число байт в диапазоне от 18368 до 20367.
Copyright (c) by Sector
Virus.Win32.Sality.e ( «Лаборатория Касперского» ) также известен как: Win32.Sality.e ( «Лаборатория Касперского» ), W32/Sality.f ( McAfee ), W32.HLLP.Sality ( Symantec ), Win32.HLLP.Sector.17368 ( Doctor Web ), W32/Sality-F ( Sophos ), Win32/Sality.F ( RAV ), PE_ROSEC.A ( Trend Micro ), W32/Sality.E ( FRISK ), Win32:Rosec ( ALWIL ), Win32/Sality.E ( Grisoft ), Win32.HLLP.Sality.E ( SOFTWIN ), W32/Sality.G ( Panda ), Win32/Sality.F ( Eset )
Другие названия
Собираем и анализируем опыт профессионалов ИБ