در مقاله قبلی با عنوان "ویروس خطرناک سالیتی win32.Sality Virus " به مشروح عملکرد ویروس سلیتی اشاره کردم و در این مطلب قصد دارم تغییرات و دستکاریهای این ویروس در رجیستری را بیان کنم :

تغییرات ویروس sality  در جیستری :

این ویروس برای غیر فعال کردن رجیستری و تسک منیجر و موارد دیگر تغییراتی در رجیستری ایجاد می کند .

 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

در بعضی نسخه ها با ایجاد کلید زیر در رجیستری موجب حذف شدن فولدر آپنز از منوی Tools در Explorer می شود .

  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NofolderOptions = 0x00000001


این ویروس برای جلوگیری از دسترسی و ورود به تسک منیجر و رجیستری ادیتور مقادیر زیر را در رجیستری ایجاد می کند :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 0x00000001
DisableRegistryTools = 0x00000001



در مواردی نیز که نام فایل اصلی آن SCVHOST باشد برای اجرای خود در هربار بالا آمدن ویندوز ، مقدار زیر را در مسیر رجیستری اضافه می کند :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
 Yahoo Messengger = "%System%\SCVHSOT.exe"

و بدینترتیب با هربار بالا آمدن ویندوز فایل آلوده ویروس اجرا میگردد .

مقدار زیر در رجیستری نیز توسط این ویروس تغییر می کند :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = "Explorer.exe SCVHSOT.exe"

این تغییر نیز جهت اجرای فایل آلوده SCVHOST.exe  با هربار بالا آمدن ویندوز میباشد .

حذف مقادیر از رجیستری :

ویروس Win32/Sality.AA کلیه مسیرهای رجیستری با عناوین زیر را یافته و به کلی حذف می کند :

HKCU\System\CurrentControlSet\Control\SafeBoot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects


تغییرات ویروس سلیتی در تنظیمات سیستم و پیکربندی امنیتی کامپیوتر  :

Sality.AA   با جرای دستور اجرایی زیر فایروال سیستم را از کار می اندازد :

netsh firewall set opmode disable


و همچنین تغییرات زیر را در رجیستری توسط این ویروس صورت میگیرد :

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"" = ":*:Enabled:ipsec"

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0

علاوه بر موارد فوق ، ویروس سلیتی در جهت  غیرفعال کردن توان امنیتی سیستم XP System Security تغییرات زیر را در رجیستری صورت می دهد :

HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify = dword:00000001

HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify = dword:00000001

این تغییرات موجب از کارا فتادن پیامهای هشدار امنیتی و ... میگردد .

برای مخفی کردن کلیه فایلهای مخفی و سیستمی از دید کاربر مقدار زیر در رجیستری نیز ایجاد میگردد :

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2



 

همچنین همانطور که در مطلب قبلی به آن اشاره شد کلید زیر در رجیستری توسط این ویروس ایجاد می شود :


[HKEY_CURRENT_USER\Software\%username%914]


که به جای عبارت %username% ، نام کاربری سیستم قرار میگیرد .

به امید خدا در مطلب بعدی "روش پاکسازی ویروس سالیتی "  را در سایت قرار میدهم . فعلا التماس دعا تا بعد . نظر فراموش نشه !
کلمات کلیدی :
ویروس ويروس سالیتی سلیتی سالیتای سلیتای  بالا نیامدن در حالت سیف مود  , ویروسی که safe mode Sality Sality.aa Sality.yWin32:Sality-gen Win32.Sality.OG  W32/Sality.ao W32/Sality-AM ویروسی که تسک منیجر را غیرفعال می کند دیسیبل میکند دیزیبل تاسک مناجر غیرفعال شده است Disable Task Manager TaskManager Alt+ctrl+del Alt+control+delete Enable How To enable regedit Disable Registry Editor  غیر فعال شدن رج ادیت رجدیت رجیستری باز نمی شود تسک منیجر کار نمی کند باز نمی شود پاکسازی حذف طریقه ازبین بردن حذف پاک کردن دیلت کردن ویروس سایت کسپرسکی باز نمی شود سایتهای آنتی ویروس باز نمی شود ویروس کش خودبخود بسته می شود  مشکل باز شدن درایوها درایوها باز نمی شود Autorun.inf  اتوران فایل اتوران Sality_off Svchost.exe Scvhost.exe blastclnnn.exe hinhem.scr خراب شدن فایلهای اگزه Exe *.exe SCR  فایلهای برنامه کار نمی کند خراب شده است . Show Hidden Files فایلهای مخفی نمایش نمی یابد نشان داده نمی شود مشکل با فایلهای مخفی کار نمی کند از کار افتاده است غیرفعال شده است چرا چگونه روش شیوه طرز ازبین بردن نابود کردن ویروس تسکمنیجر فولدرآپشن  فولدراوپشن فولدر آپشنز اوپشنز  Folder Options Run Taskmgr.exe regedit.exe Run regeditSality removal Tool Tools How to Remove Sality Sality Off Sality_Off.exe Sality_Off.Rar Kaspersky Avira