آشنایی با ویروس Sality
نویسنده : مدیر سایت

تعداد بازدید : 165
گروه مقالات : کامپیوتر

تاریخ ارسال : 16/02/1388

دنیای کامپیوتر دارای پیچیدگیهای بسیار زیادی است که همین امر توانسته این وسیله را به یک ابزار کارآمد و هوشمند تبدیل نماید.

در این میان آگاهی از خطرات و مشکلاتی که این وسیله می تواند ایجاد نماید حائز اهمیت می باشد. یکی از این مشکلات، ویروسهای کامپیوتری هستند، یعنی برنامه هایی که اعمال مخربی را در رایانه انجام می دهند.

این برنامه ها حتی می توانند اطلاعات باارزش شما را خراب یا سرقت نمایند.

در بین این همه ویروس اخیرا به ویروسی به نام Sality برخورد کرده ام که باعث مشکلات زیادی شده بنابراین برآن شدم تا درباره آن اطلاعاتی بدست آورم.

منبع: مایکروسافت

ترجمه: خودم

نام ویروس: Win32/Sality

 

ویروس Win32/Sality از خانواده آلوده کننده چند شکلی(polymorphic  تكنيكي در برنامه نويسي كه برنامه مي تواند بدون دستكاري الگوريتم اصلي در عملكرد خود تغيير ايجاد كند. ويروسهايي كه از اين تكنيك استفاده كنند مي توانند مدتها بدون اينكه شناسايي شوند به تخريب خود ادامه دهند.) فایل بوده که هدف آن فایلهای اجرایی ویندوز با پسوندهای .scr و .exe می باشد. این ویروس ممکن است کد مخربی را اجرا کند که باعث حذف فایلهای با پسوندهای مذکور شده و می تواند سرویسها و پروسه های امنیتی ویندوز را خاتمه دهد.

 

علائم:

تغییر در سیستم

تغییرات زیر در سیستم میتواند نشانه حضور این ویروس باشد:

  1. پیدایش فایلهای wmdrtc32.dll  و wmdrtc32.dl_ در پوشه سیستم.
  2. افزایش حجم فایلهای آلوده نسبت به قبل.
  3. اختلال در عملکرد برنامه های آنتی ویروس و فایروال.

 

تحلیل

اطلاعات فنی

ویروس Win32/Sality از خانواده آلوده کننده چند شکلی فایل بوده که هدف آن فایلهای اجرایی ویندوز با پسوندهای .scr و .exe می باشد. این ویروس ممکن است کد مخربی را اجرا کند که باعث حذف فایلهای با پسوندهای مذکور شده و می تواند سرویسها و پروسه های امنیتی ویندوز را خاتمه دهد.

 

طریقه نصب

راه اصلی نصب این ویروس با آلوده کردن فایلها در سیستم می باشد.تعداد بسیاری از آنها از یک فایل DLL استفاده می کنند که یکبار در هر آلودگی، آن فایل را در سیستم می ریزند. این فایل به دو صورت در سیستم نوشته می شود: مثلا: نوشتن دو فایلwmdrtc32.dll  و wmdrtc32.dl_ در پوشه سیستم.

فایل ".dl_" یک کپی فشرده از فایل ".dll" است. فایل ".dll" محتوی بدنه اصلی کد ویروس می باشد.

یادداشت: پوشه سیستم یک محل متغیری است که توسط ویروس از سیستم عامل درخواست می گردد. محل نصب پیش فرض پوشه سیستم در ویندوز2000وNT مسیر C:\Winnt\System32 ، و در ویندوز XPوVista مسیر C:\Windows\System32 می باشد.

انواع اخیر این ویروس مانند Win32/Sality.AM ، فایل DLL را در دیسک نمی ریزند بلکه مستقیما آنرا به درون حافظه بار می کنند.

 

راه انتشار

آلودگی فایل

این ویروس همه فایلهای با پسوند .SCR یا .EXE را در درایوC هدف قرار داده که این کار را از پوشه ریشه شروع می کند. اندازه فایلهای آلوده تاحدودی افزایش می یابد.

 

عملیات تخریبی

  • حذف فایلهای امنیتی

انواع مختلف این ویروس درصدد حذف فایلهای به روز رسانی آنتی ویروس هستند مانند فایلهایی با پسوندهای زیر:

.AVC
.KEY
.VDB

  • اتمام فرایندهای امنیتی

این ویروس برنامه های امنیتی را جستجو و سعی در پایان دادن به آنها می کند، مخصوصا آنتی ویروسها و فایروالها. این ویروس همچنین فایلهای امنیتی را پاک می کند.

 

  • سرقت اطلاعات محرمانه

برخی از انواع این ویروس می توانند اطلاعات مربوط به پسورد و کلیدهای فشرده شده را به سرقت ببرند.

 

  • دانلود و اجرای فایلهای دلخواه

انواع مختلف این ویروس تلاش می کنند فایلهایی را دانلود و اجرا کنند. آنها برای بررسی ارتباط اینترنتی، ابتدا سعی می کنند به وبسایت www.microsoft.com متصل شوند.

 

پیشگیری

برای پیشگیری از آلودگی مراحل زیر را انجام دهید:

  • یک فایروال را در کامپیوتر خود فعال کنید.
  • فایلهای به روزسانی کامپیوتر خود را دریافت کنید.
  • از نرم افزار آنتی ویروس به روزرسانی شده بهره بگیرید.
  • هنگام انتقال فایل و ضمایم آن، احتیاط نمایید

 
بازگشت به بخش مقالات - بازگشت به صفحه اصلی