Salityn viruksen ymmärtäminen ja sen poistaminen
Sality on tiedostojen tarttuva haittaohjelma, joka vaikuttaa Windows-tietokoneisiin levittämällä tartuntoja EXE- ja SCR-tiedostojen kautta.
Sality, joka on alkanut alunperin Venäjällä, on kehittynyt paljon vuosien varrella, joten haittaohjelmien erilaiset vaihtelut osoittavat erilaisia ominaisuuksia. Useimmat Sality-versiot ovat kuitenkin matoja, koska ne käyttävät jonkinlaista autorun-toimintoa tarttuttavien tiedostojen tarttumiseen irrotettavien tai havaittavissa olevien asemien kautta.
Jotkut ovat jopa Salityn botnet-verkkoja, jotka liittyvät tartunnan saaneisiin koneisiin omaan P2P-verkkoonsa, jotta tietokoneet kokonaisuutena auttavat helpottamaan asioita, kuten yksityisten tietojen varastaminen, salasanoja, roskapostin lähettämistä ja paljon muuta.
Sality-virukseen voi sisältyä myös troijalainen lataaja, joka asentaa muita haittaohjelmia Internetin välityksellä ja keyloggerin, joka seuraa ja tallentaa näppäilyjä.
Huomautus: Jotkut virustorjuntaohjelmat viittaavat Sality-viruksiin muiden nimien kuten SaILoad, SaliCode, Kookoo ja Kukackan kanssa.
Kuinka se toimii
Kuten yllä mainittiin, Sality-haittaohjelmat infektoivat suoritustiedostoja tartunnan saaneessa tietokoneessa.
Useimmat haittaohjelmien versiot laittavat erityisen DLL- tiedoston tietokoneeseen % SYSTEM% -kansioon ja saattavat kutsua sitä "wmdrtc32.dll" tai kompressoidun version "wmdrtc32.dl_".
Sality-viruksen kaikki versiot eivät kuitenkaan tällä tavoin käytä DLL-tiedostoa. Jotkut lataavat koodin suoraan muistiin, eikä DLL-tiedostoa löydy mistään varsinaisista levytiedostoista.
Muut voivat jopa tallentaa laiteohjaimen % SYSTEM% \ drivers -kansiossa. Mikä tekee tästä hankalaksi, on se, että se voidaan tallentaa satunnaisella tiedostonimellä, joten jos virustorjuntaohjelmasi lukee vain tiedostojen nimet virusten tarkistamiseksi eikä tiedostojen sisällöstä, on hyvä mahdollisuus, että se ei saata Sality-virusta .
Sality-haittaohjelmien päivitykset syötetään HTTP: n kautta hajautettujen URL-osoitteiden luettelojen kautta. Haittaohjelmien jälkeen haittaohjelmat tarvitsevat vain päivityksiä kulissien takaa muuttaakseen ja kasvattaakseen itsensä, uusien tiedostojen lataamiseksi muiden tietokoneiden tartuttajiksi.
Merkkejä infektiosta
On tärkeää olla tietoinen Sality-virustartunnan oireista - mitä tietokoneesi voi tehdä tai miten se voi esiintyä, kun Sality-virus on läsnä.
Kuten monet muut haittaohjelmat, Sality voisi tehdä jotain seuraavista:
- Poista virustorjuntaohjelmisto käytöstä ja estä tiettyjen virustentorjuntaohjelmistojen ja tietoturva-sivustojen käyttö.
- Estä käynnistäminen vikasietotilaan .
- Poista turvallisuuteen liittyvät tiedostot, prosessit ja / tai palvelut .
- Säilytä CMD-, PIF- ja / tai EXE-tiedosto etsittävien asemien juurelle sekä autorun.inf-tiedosto, joka sisältää ohjeet ladatut tiedostot, kun levyasemaa käytetään.
- Lähetä roskaposti sähköpostiosoitteisiin päästäksesi sähköpostiosoitteen osoitekirjaan.
- Poista tiedostot, jotka sisältävät tietyn tiedostopäätteen .
Kuinka poistaa
Paras tapa estää Sality-virustartunta on pitää tietokoneesi ajan tasalla viimeisimpien korjaustiedostojen ja tietoturva-asetusten kanssa. Käytä Windows Update -ohjelmaa ja pidä virustorjuntaohjelmistasi ajan tasalla, jotta voit estää tämän hyökkäyksen.
Jos tiedät jo, että sinulla on Sality-virus, voit päästä eroon siitä samalla tavalla. Skannaa tietokoneesi haittaohjelmille, joilla on päivitetty ja toimiva virustentorjuntaohjelma . Saatat olla onnea vakoiluohjelmien poistoon kiinni Sality-viruksesta, koska se toimii myös vakoojaohjelmina. Jos nämä eivät toimi tai sinulla ei ole tavallista Windows-käyttöoikeutta, käytä sen sijaan käynnistyvää virustorjuntaohjelmaa .
Jotkut virustentorjunta-alan myyjät ovat erityinen työkalu, joka on tarkoitettu Sality-viruksen käsittelemiseen. Esimerkiksi AVG tarjoaa suosittua ilmaista virustentorjuntaohjelmaa, mutta niissä on myös Sality Fix, jonka voit ladata ilmaiseksi Sality-viruksen poistamiseksi automaattisesti. Kasperskyn avulla voit käyttää vapaata SalityKiller-työkalua.
Jos tiedoston tiedetään olevan Sality-tartunnan saanutta, anna ohjelmiston puhdistaa tiedosto. Jos muita haittaohjelmia löytyy, yritä poistaa virus tai ryhtyä skannerin suosittelemaan toimenpiteeseen.
Jotkut virustentorjuntaohjelmat eivät ehkä tunnista Sality-virusta. Jos epäilet, että sinulla on virus, mutta tietoturvaohjelmisto ei löydä sitä, yritä ladata se VirusTotaliin suorittaaksesi online-skannauksen useilla skannausmoottoreilla.
Toinen vaihtoehto on poistaa manuaalisesti virustiedostot etsimällä tietokonetta käyttäen tiedostohakutyökalua kuten Everything. On kuitenkin olemassa hyvät mahdollisuudet, että tiedostot lukitaan käytöstä, eikä niitä voi poistaa tavallisella tavalla. Virustentorjuntaohjelmat voivat yleensä välttää tämän tekemällä haittaohjelmien ajoituksen poistamista varten, kun tietokone sammutetaan.
Mitä tehdä seuraavaksi
Jos olet varma, että Sality-virus on poistettu, kannattaa harkita automaattisen autorun poistamista USB- asemien välityksellä.
On myös tärkeää muuttaa salasanoja mille tahansa online-tilille, jota käytit infektion aikana. Jos Sality-virus kirjautui näppäilysi, on hyvät mahdollisuudet tallentaa pankkitiedot, sosiaalisen median käyttöoikeudet, sähköposti salasana jne. Salasanojen vaihtaminen ( sen jälkeen kun infektio on kadonnut ) ja tilien tarkastaminen varkauksille on tärkeä askel .
Asenna jatkuvasti päivitettävä, helppokäyttöinen virustentorjuntaohjelma niin, että se on vähemmän todennäköistä, että se tapahtuu uudelleen. Varmista, että se voi tarkistaa haittaohjelmien irrotettavat asemat ja määrittää ajoitetut tarkistukset tarkistaakseen säännöllisesti kaikentyyppisiä haittaohjelmia, ei pelkästään Sality-virukselle.