این ویروس در چند ماه گذشته جزء شایع ترین ویروسها بوده است و انواع مختلفی دارد .


غیرفعال کردن Alt+Ctrl+Delete یا همان تسک منیجر Task Manager  ، از کار افتادن Regedit  ( رجیستری ویندوز) ،همچنین محدود کردن دسترسی به سایتهای آنتی ویروس ، بستن آنتی ویروس و همچنین خراب کردن فایلهای اجرایی سیستم مختصری از اعمال این ویروس است .

 


من در این مبحث به عملکرد کلی این ویروس میپردازم و در ادامه روشی برای حذف این ویروس آموزش داده ام.

عناوین این ویروس و اسامی مورد شناسایی انتی ویروسهای معروف را در این صفحه مشاهده نمایید :

http://www.acs.ir/page/sality3.aspx

شیوه آلوده سازی ویرس Sality

این ویروس پس از اجرا ، فایل آلوده ای را  با نامی تصادفی و پسوند SYS   در مسیر زیر قرار می دهد :

%System%\drivers

این کامپوننت آلوده ، در واقع یک Device Driver میباشد که مانند یک rootkit در سطح کرنل سیستم عمل می کند و به ویروس اجازه می دهد که خودش و عملکردش را در سیستم مخفی کند .

از آنجایی که  این شیوه تنها در سیستمهای مبتنی بر ویندوز ان تی (Windows NT-based operating systems)   قابل اجراست .لذا ویندوزهای NT/2000/XP/2003 در معرض آلودگی این ویروس هستند .من در یکی از سیستمهای آلوده به این ویروس ، پراسسی به نام SCVHOST.exe را مشاهده کردم که در واقع پراسس اصلی ویروس بود .توجه کنید که نام SCVHOST.exe بسیار شبیه فایل سیستمی

  SVCHOST.exe

میباشد  وتنها دو حرف C  و V  جابجا شده اند .در واقع وجود یکی از پراسسهای زیر در سربرگ Processes  ممکن است یکی از نشانه های آلودگی سیستم به ویروس Sality باشد :

blastclnnn.exe

hinhem.scr

SCVHOST.exe
 این ویروس متن زیر را در فایل SYSTem.ini موجود در شاخه ویندوز اضافه می کند : 
[MCIDRV_VER]
DEVICEMB=
که منظور از random number یک عدد تصادفی است . همچنین کلید رجیستری زیر را در رجیستری ویندوز ایجاد می کند که ترکیبی است از نام کامپیوتر و یک عدد سه رقمی تصادفی :
HKCU\Software\<3 random numbers>
مثلا  :
 HKCU\Software\EliassMaleki498
در این کلید ویروس متغیرهای مورد استفاده خود را ایجاد می کند .در یکی از سیستمهای آلوده من مسیر رجیستری زیر را که توسط ویروس ایجاد شده بود یافتم :
HKCU\Software\ACS-IR914

که ACS-IR نام کامپیوتر و عدد 914 همان عدد سه رقمی تصادفی بود.این ویروس همچنین کلیه درایوهای محلی و یا شبکه ای و یا قابل حمل مانند فلش دیسکهای متصل به سیستم را یافته و خود را در آنها کپی می کند .این ویروس همانند بسیاری از ویروسهای جدید با استفاده از ایجاد فایل Autorun.inf در درایوها و حافظه های فلش از این روش برای تکثیر خود بهره میگیرد .وجود فایل Autorun.inf در هر نوع درایوی موجب می شود به محض دابل کلیک کردن بر روی درایو دستورات موجود در  Autorun.inf اجرا شود که این دستورات ، دستوراتی شامل اجرای مجدد ویروس و تکثیر مجدد در کلیه درایوهاست . بارگذاری ویروسها و بدافزارهای دیگر :  این ویروس با اتصال به دامینها و سایتهای زیر ، بدافزارهای دیگری را نیز دانلود کرده و به سیستم آلوده منتقل می کند :   89.119.67.154 bjerm.mass.hc.ru klkjwre77638dfqwieuoi888.info kukutrustnet777.info kukutrustnet777888.info kukutrustnet888.info kukutrustnet987.info lpbmx.ru mattfoll.eu.interia.pl st1.dist.su.lt www.klkjwre9fqwieluoi.info     غیر فعال کردن Task Manager  و Registry Editor و Show Hidden Files   این ویروس ضمن از کار انداختن تسک منیجر Task Manager  یا همان Alt+Ctrl+Delete موجب از کار افتادن ویرایشگر رجیستری (Regedit) نیز میگردد .

در صورت آلوده شدن سیستم به تین ویروس Folder Option نیز در مواقعی حذف می شود و یا در صورت وجود ، عملکرد نمایش فایهای مخفی و سیستمی نیز غیرفعال میگردد . ( در واقع وقتی شما گزینه Show hidden files and folders Hide extensions for known file types را انتخاب میکنید و همچنین گزینه Hide protected operating system files (Recommended) را علامتدار می کنید باز فایهای سیستمی و مخفی نمایش نمی یابد ) در یکی از نسخه ها با جرای دستور بازگرداندن تسک منیجر بای چند لحظه تسک منیجر کار می کند ولی بسرعت غیر فعال میگردد .   بالا نیامدن سیستم در حالت Safe Mode   این ویروس موجب می شود سیستم در حالت سیف مود (Safe Mode)  نیز بالا نیاید و پس از چند لحظه ری استارت شود !   تخریب و آلوده کردن فایلهای SCR  و EXE از بدترین اعمالی که این ویروس انجام می دهد خراب کردن فایلهای اجرایی سیستم با پسوند exe و  SCR میباشد بطوریکه اغلب فایلهای exe و SCR   موجود در درایو C را آلوده کردن و کدهایی را در آنها تزریق می کند و در نتیجه فایهای فوق نیز بعنوان ویروس Sality شناخته می شوند و بکلی خراب می شوند . همچنین بسیاری از فایلهای اجرایی درایوهای دیگر را بطور تصادفی آلوده می کند .

حذف فایلها و بستن پراسسهای خاص:

  این ویروس همچنین ممکن است فایلهای با پسوندهای زیر را حذف کند :

*.AVC
*.VDB

  جالب اینجاست این ویروس به شما اجازه نصب برنامه های آنتی ویروس را می دهد اما به محض اجرای آنتی ویروس آن را می بندد ! من از کسپرسکی استفاده کردم که پس از اجرای کسپرسی پس از حدود 2 ثانیه انتی ویروس توسط ویروس فوق بسته می شود !

این ویروس فایلها یا پراسسهایی که اسامی آنها دارای کلمات زیر میباشد را  حذف کرده و یا می بندد (Terminate and Delete the Process )   لیست این کلمات را در این صفحه میتوانید مشاهده کنید. http://www.acs.ir/page/sality1.aspx خاتمه اجرای سرویسهای خاصی در ویندوز   Terminates Services این ویروس سرویسهای در حال اجرای سیستم را که به نامهای زیر هستند را خاتمه می دهد :  لیست این پراسسها را در اینجا ببینید . http://www.acs.ir/page/sality2.aspx

جلوگیری از دسترسی و اتصال به وب سایتهای خاص :

این ویروس دسترسی سیستم را به سایتهای اینترنتی خاصی را محدود می کند . این عمل را از طریق الحاق یک فایل SYS که وظیفه انجام IP Traffic Filter Device Driver را دارد ، انجام می دهد .لذا کلیه سایتها و دامینتهایی که اسامی آنها دارای کلمات زیر میباشد بلوکه شده و دسترسی سیستم آلوده به آنها محدود میگردد
 

upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky

نکته قابل توجه : ممکن است سیستمی آلوده به این ویروس باشد اما با توجه به چند ریختی بودن ویروس ، اسامی بعضی از فایلها و یا مسیرهای ذکر شده متفاوت باشد  اما بسیاری از عملکردها ،  مانند از کارفتادن تسک منیجر و رجیستری در کلیه نسخه های این ویروس مشترک است .بدلیل محدودیت فضای 50 کیلوبایتی برای نوشتن مقالات در بلاگفا ، تغییرات در جیستری و چگونگی حذف و پاکسازی ویروس سلیتی Sality   را در مطلب آتی قرار میدهم .....

ویروس ويروس سالیتی سلیتی سالیتای سلیتای Sality Sality.aa Sality.y Win32:Sality-gen Win32.Sality.OG  W32/Sality.ao W32/Sality-AM ویروسی که تسک منیجر را غیرفعال می کند دیسیبل میکند دیزیبل تاسک مناجر غیرفعال شده است Disable Task Manager TaskManager Alt+ctrl+del Alt+control+delete Enable How To enable regedit Disable Registry Editor  غیر فعال شدن رج ادیت رجدیت رجیستری باز نمی شود تسک منیجر کار نمی کند باز نمی شود پاکسازی حذف طریقه ازبین بردن حذف پاک کردن دیلت کردن ویروس سایت کسپرسکی باز نمی شود سایتهای آنتی ویروس باز نمی شود ویورس کش خودبخود بسته می شود  مشکل باز شدن درایوها درایوها باز نمی شود Autorun.inf  اتوران فایل اتوران Sality_off Svchost.exe Scvhost.exe blastclnnn.exe hinhem.scr خراب شدن فایلهای اگزه Exe *.exe SCR  فایلهای برنامه کار نمی کند خراب شده است . Show Hidden Files فایلهای مخفی نمایش نمی یابد نشان داده نمی شود مشکل با فایلهای مخفی کار نمی کند از کار افتاده است غیرفعال شده است چرا چگونه روش شیوه طرز ازبین بردن نابود کردن ویروس تسکمنیجر فولدرآپشن  فولدراوپشن فولدر آپشنز اوپشنز Folder Options Run Taskmgr.exe regedit.exe Run regedit