Технические детали
Данная программа представляет собой файловый вирус с троянским функционалом. Является приложением Windows (PE EXE-файл). Размер тела вируса — 16384 байта.
Инсталляция
При запуске зараженного файла из тела вируса извлекается следующий файл:
- %System%\oledsp32.dll — имеет размер 25600 байт
Далее этот файл загружается в систему как библиотека DLL, и вирус передает управление оригинальной зараженной программе.
Процедура заражения
Вредоносная программа заражает исполняемые файлы Windows (PE-EXE) с расширениями .EXE и .SCR.
Не инфицируются объекты размером больше 20 миллионов 971 тысячи 520 байт и менее 1024 байт.
При заражении вирус дописывает себя в конец последней секции PE-файла.
После того как Sality.t завершает свою работу, управление снова передается оригинальной программе.
Следует отметить, что поиск файлов для внедрения вредоносного кода производится на всех разделах жесткого диска.
Деструктивная активность
Библиотека «%System%\oledsp32.dll» устанавливает перехватчик открывающихся окон, тем самым подгружая себя в адресное пространство всех запущенных процессов.
Также инсталлируется перехватчик клавиатурного ввода, позволяющий следить за нажимаемыми клавишами в окнах, с которыми работает пользователь. Собранная информация сохраняется в зашифрованном виде внутри следующего файла:
%System%\TFTempCache
В отчет вносятся заголовки окон, последовательности нажатых клавиш, а также системные дата и время.
Кроме того, туда помещается информация о дате и времени работы с окнами, содержащими в заголовках такие строки:
- TERM
- CONNECT
- СОЕДИНЕН
- УДАЛЕНН
- REMOTE
- LOGIN
- PASS
- СВЯЗ
- ТЕРМ
- ПОДКЛЮЧ
- MOZIL
- OUTLOOK
- SERV
- ПОЧТ
- NET
- CHAT
- MONEY
- РЕГИСТ
- EGIST
- SYSTEM
- ПАРОЛ
- PIN
- ПЕРЕД
- ПИН
Вирус получает список модемных соединений и их параметры, похищает содержимое системного парольного кэша (с помощью функции WNetEnumCachedPasswords), получает сведения о последних открытых в Internet Explorer URL.
Также из системного реестра извлекается информация об ОС: версия, серийный номер, название организации, имя пользователя.
Содержимое файла «%WinDir%\edialer.ini» похищается.
Все собранные данные вирус отсылает на один из электронных адресов злоумышленника:
sector****@list.ru
****ntovij@list.ru
Наконец, данная вредоносная программа ищет и удаляет файлы, содержащие в своем имени строку «drw», а также файлы с расширениями:
.vdb
.key
.avc
.tjc
Рекомендации по удалению
Поскольку ручное удаление не представляется возможным, для лечения зараженных файлов рекомендуется произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
RSS-каналы
