Sality.NAO

Létrehozva: 2008-05-14, 11:11:12

Utolsó frissítés: 2009-11-09, 19:00:09

Platform: Win32

Típus: vírus

Méret: 113152

Dátum: 2008-04-20

Veszélyeztetett operációs rendszer(ek): Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows Server 2003, Windows XP

Nem veszélyeztetett operációs rendszer(ek): Windows 3.xx, DOS, Linux, Unix, Solaris, MacOS, Mac OS X, OS2

Elnevezések:

A különböző vírusvédelmek az egyes vírusokat, férgeket eltérő névvel illethetik. Előfordulhat, hogy egy vírusvédelmi rendszer egy adott károkozó program különböző példányait különböző neveken azonosítja, de az is elképzelhető, hogy különböző vírusokat, férgeket illet azonos néven. Az alábbi lista tájékoztató jelleggel mutatja a legelterjedtebb vírusvédelmek elnevezését, mely természetesen még az adott vírusvédelmi rendszer különböző verziója esetén is más és más lehet.

A Win32/Sality.NAO vírus elnevezései az egyes vírusvédelmek szerint:

vírusvédelem	elnevezés
Avira	W32/Sality
BitDefender	W32/Sality.OB
e-Trust	Win32/Sality.X
F-PROT	W32/Sality.AJ
Fortinet	W32/Sality.Y
F-Secure	Virus.Win32.Sality.y
Kaspersky	Virus.Win32.Sality.y
McAfee	W32/SAlity.af

vírusvédelem	elnevezés
NOD32 (ESET)	Win32/Sality.NAO
Microsoft	Virus:Win32/Sality.AM
Norton Antivirus	W32.Sality.AE
Panda	W32/Sality.AE
Rising Antivirus	Win32.KUKU.a
Sophos	W32/Sality-AM
Trend Micro	TROJ_AGENT.XOO
VirusBuster	Win32.Sality.AM

Telepítés:

Az interneten vagy lokális hálózaton terjedő kártevők elsődleges célja, hogy egy másik számítógépet fertőzzenek meg. A megtámadott számítógép működésébe, annak operációs rendszerébe általában úgy épülnek be, hogy az egy esetleges újraindítást (boot-olást) követően is aktivízálja a kártevő kódját. Ezt általában úgy érik el, hogy a kártevő kódját tartalmazó fájl(oka)t hoznak létre vagy meglévő fájl(oka)t módosítanak, illetve beállítanak néhány bejegyzést a rendszerleíró adatbázisban, ami arra utasítja az induló operációs rendszert, hogy a frissen elhelyezett kártékony kódot is el kell indítani. Emellett - nem közvetlenül az újraindítás érdekében - más területeken (könyvtárakban) is létrehoznak magukból másolatot. Ennek kettős célja van: Egyrészt egy esetleges vírusirtást követően egy eldugott helyen megmaradhatnak a fertőzött állományok, másrészt helyi hálózatokban, megosztott könyvtárakban, peer-to-peer hálózatokban is képes terjedni. Kihasználhatják továbbá a Windows alapértelmezés szerinti beállítását is, miszerint egy létrehozott AUTORUN.INF nevű fájllal el lehet érni, hogy egy meghajtó megnyitásakor is aktivizálódjon a kártékony kód.

A Win32/Sality.NAO létrehozza a C: \ Windows\ System32\ drivers\ <random>. sys nevű fájlt.

Az állományok létrehozása mellett a vírusok, férgek esetenként más alkalmazáshoz, esetleg másik vírushoz, féreghez tartozó állományokat is letörölnek.

A Win32/Sality.NAO vírus letörli az alábbi fájlokat:

.AVC
.KEY
.VDB
A2GUARD
AAVSHIELD
teljes lista...

.AVC
.KEY
.VDB
A2GUARD
AAVSHIELD
ADVCHK
AHNSD
AIRDEFENSE
ALERTSVC
ALMON
ALOGSERV
ALSVC
AMON
ANTI-TROJAN
ANTIVIR
ANTS
APVXDWIN
ARMOR2NET
ASHAVAST
ASHDISP
ASHENHCD
ASHMAISV
ASHPOPWZ
ASHSERV
ASHSIMPL
ASHSKPCK
ASHWEBSV
ASWUPDSV
ATCON
ATUPDATER
ATWATCH
AUPDATE
AUTODOWN
AUTOTRACE
AUTOUPDATE
AVAST
AVCIMAN
AVCONSOL
AVENGINE
AVGAMSVR
AVGCC
AVGCC32
AVGCTRL
AVGEMC
AVGFWSRV
AVGNT
AVGNTDD
AVGNTMGR
AVGSERV
AVGUARD
AVGUPSVC
AVINITNT
AVKSERV
AVKSERVICE
AVKWCTL
AVP
AVP32
AVPCC
AVPM
AVPUPD
AVSCHED32
AVSYNMGR
AVWUPD32
AVWUPSRV
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
AVZ
BACKWEB-4476822
BDMCON
BDNEWS
BDOESRV
BDSS
BDSUBMIT
BDSWITCH
BLACKD
BLACKICE
CAFIX
CCAPP
CCEVTMGR
CCPROXY
CCSETMGR
CFIAUDIT
CLAMTRAY
CLAMWIN
CLAW95
CLAW95CF
CLEANER
CLEANER3
CLISVC
CMGRDIAN
CUREIT
DEFWATCH
DOORS
DRVIRUS
DRWADINS
DRWEB32W
DRWEBSCD
DRWEBUPW
ESCANH95
ESCANHNT
EWIDOCTRL
EZANTIVIRUSREGISTRATIONCHECK
F-AGNT95
F-PROT95
F-SCHED
F-STOPW
FAMEH32
FAST
FCH32
FILEMON
FIRESVC
FIRETRAY
FIREWALL
FPAVUPDM
FRESHCLAM
FRW
FSAV32
FSAVGUI
FSBWSYS
FSDFWD
FSGK32
FSGK32ST
FSGUIEXE
FSM32
FSMA32
FSMB32
FSPEX.
FSSM32
GCASDTSERV
GCASSERV
GIANTANTISPYWAREMAIN
GIANTANTISPYWAREUPDATER
GUARDGUI
GUARDNT
HREGMON
HRRES
HSOCKPE
HUPDATE
IAMAPP
IAMSERV
ICLOAD95
ICLOADNT
ICMON
ICSSUPPNT
ICSUPP95
ICSUPPNT
IFACE
INETUPD
INOCIT
INORPC
INORT
INOTASK
INOUPTNG
IOMON98
ISAFE
ISATRAY
ISRV95
ISSVC
KAV
KAVMM
KAVPF
KAVPFW
KAVSTART
KAVSVC
KAVSVCUI
KMAILMON
KPFWSVC
KWATCH
LOCKDOWN2000
LOGWATNT
LUALL
LUCOMSERVER
LUUPDATE
MCAGENT
MCMNHDLR
MCREGWIZ
MCUPDATE
MCVSSHLD
MINILOG
MYAGTSVC
MYAGTTRY
NAVAPSVC
NAVAPW32
NAVLU32
NAVW32
NEOWATCHLOG
NEOWATCHTRAY
NISSERV
NISUM
NMAIN
NOD32
NORMIST
NOTSTART
NPAVTRAY
NPFMNTOR
NPFMSG
NPROTECT
NSCHED32
NSMDTR
NSSSERV
NSSTRAY
NTRTSCAN
NTXCONFIG
NUPGRADE
NVC95
NVCOD
NVCTE
NVCUT
NWSERVICE
OFCPFWSVC
OUTPOST
PAV
PAVFIRES
PAVFNSVR
PAVKRE
PAVPROT
PAVPROXY
PAVPRSRV
PAVSRV51
PAVSS
PCCGUIDE
PCCIOMON
PCCNTMON
PCCPFW
PCCTLCOM
PCTAV
PERSFW
PERTSK
PERVAC
PNMSRV
POP3TRAP
POPROXY
PREVSRV
PSIMSVC
QHM32
QHONLINE
QHONSVC
QHPF
QHWSCSVC
RAVMON
RAVTIMER
REALMON
REALMON95
RFWMAIN
RTVSCAN
RTVSCN95
RULAUNCH
SAVADMINSERVICE
SAVMAIN
SAVPROGRESS
SAVSCAN
SCAN32
SCANNINGPROCESS
SDHELP
SHSTAT
SITECLI
SPBBCSVC
SPHINX
SPIDERML
SPIDERNT
SPIDERUI
SPYBOTSD
SPYXX
SS3EDIT
STOPSIGNAV
SWAGENT
SWDOCTOR
SWNETSUP
SYMLCSVC
SYMPROXYSVC
SYMSPORT
SYMWSC
SYNMGR
TAUMON
TBMON
TC
TCA
TCM
TDS-3
TEATIMER
TFAK
THAV
THSM
TMAS
TMLISTEN
TMNTSRV
TMPFW
TMPROXY
TNBUTIL
TRJSCAN
UP2DATE
VBA32ECM
VBA32IFS
VBA32LDR
VBA32PP3
VBSNTW
VCHK
VCRMON
VETTRAY
VIRUSKEEPER
VPTRAY
VRFWSVC
VRMONNT
VRMONSVC
VRRW32
VSECOMR
VSHWIN32
VSMON
VSSERV
VSSTAT
WATCHDOG
WEBPROXY
WEBSCANX
WEBTRAP
WGFE95
WINAW32
WINROUTE
WINSS
WINSSNOTIFY
WRADMIN
WRCTRL
XCOMMSVR
ZATUTOR
ZAUINST
ZLCLIENT
ZONEALARM
_AVPM
drw
vissza...

Megjegyzés: A leírásban szereplő <random> véletlenszerű karaktereket jelöl.

A Win32/Sality.NAO vírus a rendszerleíró adatbázisba az alábbi bejegyzéseket hozza létre, illetve módosítja (ha már létezik):

[HKEY_CURRENT_USER\Software\<user>914]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "<filename>"="<filename>:*:Enabled:ipsec"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting] "GlobalUserOffline"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "EnableLUA"="0"

Annak érdekében, hogy egy féreg, vírus egy esetlegesen a megtámadott számítógépen lévő másik károkozó működését korlátozni tudja, ezért a képesek arra, hogy a rendszerleíró adatbázisból a másik vírusra vagy féregre vonatkozó bejegyzéseket töröljék. Előfordulhat az is, hogy így próbálják elejét venni, hogy egy alkalmazás (például vírusvédelem vagy tűzfal) a gép újraindításával aktivizálódjon.

A Win32/Sality.NAO vírus a rendszerleíró adatbázisból az alábbi bejegyzéseket törli:

[HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats]
teljes lista...

Megjegyzés: A leírásban szereplő <user> a felhasználó nevét jelöli. Megjegyzés: A leírásban szereplő <filename> a vírus által létrehozott fájl nevét jelöli.

Az újraindítást követő aktivizálódás elérésének számos egyéb lehetősége is van. A Windows működése során néhány olyan szöveges, konfigurációs állományt is használ, mely lehetőséget ad az automatikus elindulásra.

A Win32/Sality.NAO vírus a C:\Windows\System.ini fájl [boot] szekciójába az alábbi bejegyzéseket teszi:

[MCIDRV_VER]
DEVICEMB=18267120829

A folyamatosan figyelő memóriarezidens vírusoknak, férgeknek célszerű gondoskodni arról, hogy csak egyszer kerüljenek a memóriába. Ennek érdekében úgynevezett mutexet hoznak létre, amelynek a létét a memóriába kerülés elött ellenőrzik.

A Win32/Sality.NAO vírus Op1mutx9 néven hoz létre mutexet.

A vírusok, férgek képesek arra, hogy megpróbálják a vírusvédelmi, illetve tűzfalakhoz tartozó folyamatokat leállítani. Ennek kettős célja van: egyrészt megnehezítik, hogy a felhasználó tudomást szerezzen a fertőzésről, másrészt egy esetleges hátsóajtó komponens kijutását is könnyebbé tehetik. Megtehetik azt is, hogy bizonyos, az internetre irányuló forgalmat elterelnek, egyes oldalak elérését megakadályozzák.

A Win32/Sality.NAO vírus leállítja azon folyamatokat, melyek nevében szerepelnek a következő szótöredékek:

ALG
AVP
BGLiveSvc
BackWeb Plug-in - 4476822
BlackICE
teljes lista...

Egy, a számítógépeket támadó vírus, féreg az elindulást követő aktivizálódás érdekében szolgáltatást (service) is létrehozhat. A szolgáltatások paramétereit is természetesen tartalmazza a rendszerleíró adatbázis (registry). A szolgáltatásokat a Windows XP alatt a Vezérlőpult/Felügyeleti eszközök/Szolgáltatások alatt tekinthetjük meg. A vírusok, férgek a szolgáltatásokat le is állíthatják.

A Win32/Sality.NAO vírus WMI_MFC_TPSHOKER_80 néven hoz létre szervizt.

A létrehozott szerviz a(z) C:\Windows\System32\drivers\<random>.sys elérési útra hivatkozik.

A Win32/Sality.NAO vírus az alábbi könyvtárakban nem fertőz:

SYSTEM
AHEAD

Támadás az interneten

Sok vírus, féreg képes arra, hogy az interneten támadást indítson más számítógépek ellen, lehetetlenné téve azok használatát.

A vírus megkísérel az alábbi webcímekre csatlakozni:

89.119.67.154
balsfhkewo7i487fksd.info
bcash-ddt.net
bclr-cash.net
bddr-cash.net
teljes lista...

Hátsóajtó

A vírusok, férgek egyre gyakrabban nyitnak hátsóajtót a megtámadott számítógépen. Ezzel teljes mértékben átvehetik a számítógép felügyeletét, a támadó azt csinál a számítógépen, amit csak akar: alkalmazásokat futtathat, állíthat le, állományokat tölthet le/fel, jelszavakat, hozzáférési kódokat tulajdoníthat el.

Elérhetetlenné teszi azokat a web oldalakat, amelyek tartalmazzák a következő karakterláncok valamelyikét:

Agnitum
Bitdefender
Cureit
Drweb
Eset.com
teljes lista...