-
Новый Sality – Sality.ag
В прошедшую пятницу специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa. Вирус Sality.aa последний раз менялся примерно год назад, причём незначительно, однако на протяжении двух последних лет он входит в пятерку вредоносных программ, чаще всего детектируемых на компьютерах пользователей. Все предыдущие модификации Sality не имели такого успеха. За “aa” последовала версия “ae”, которая использовала технику заражения EPO, но из-за простого алгоритма дешифровки и неудачной техники заражения она не стала популярной у злоумышленников. Последующие версии также не снискали популярности из-за значительного упрощения алгоритма дешифровки.
Новой разновидности была присвоена модификация ag. Почему для нас так интересен этот новый экземпляр? В ней применяется качественно новый алгоритм дешифровки и множество новых «полезных» инструкций. Мы считаем, что эта модификация в скором времени заменит устаревшую версию «аа» и станет очень популярной.
...
The worst foe lies within the self...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
У нас в локалку занесли эту дрянь в конце прошлой недели. По состоянию на утро понедельника ни Каспер ни ДокторВеб это не лечили. По состоянию на сегодняшнее утро Каспер детектировал только 1 из 2 сэмплов, а ДокторВеб - ни одного. Ниже цитата из переписки:
--
Я немножко поигрался с копией вируса, который притащил домой на флешке. Пока есть следующие результаты (это копия сообщений в аську, которые я сегодня отправлял Тимуру):
--
psw (08:54:10 29/03/2010)
Привет.
Я тут посмотрел на свою флешку с Win32/Sality. послал зараженный файл на VirusTotal.
Имеем проблему: ни Доктор Веб, ни Касперский этой заразы не видят. Список видящих (и невидящих)
http://www.virustotal.com/ru/analisi...92c-1269837986
Если так, то LiveCD не сработает. AVPTools и CureIt! по-видимому, тоже.
Видит Аваст, но я не знаю, умеет ли он это лечить.
psw (09:00:05 29/03/2010)
Попробовал вылечить Авастом (у которого есть детект) - неудачно, вылечить не смог.
psw (11:22:06 29/03/2010)
Скачал и поставил на виртуалку MSE (бесплатный от Микрософт), есть детект нашей версии Sality и что хорошо - умеет лечить. Что плохо - штатная установка идет через инсталлятор, пока не знаю, можно ли его заставить работать в режиме сканера. И при запуске проверяет подлинность Виндов. Оказалось, что у меня все подлинное
По поводу распространения через флешки: там садится autirun.inf ссылающийся на что-то там.pif (зараженное Sality, естественно). Детект этого ПИФа на ВирусТотал такой
http://www.virustotal.com/ru/analisi...fb7-1269846470
Что видно: Доктор Веб и Касперский его (пока) не детектируют. Детектирует Аваст (но не лечит), детектирует Микрософт (и лечит тоже). Что самое смешное, детектирует Симантек (правда, я не знаю, с какого числа идет этот детект).
-
-
Интересно как нод будет лечить, удалением или нормально, ведь детект есть.
-
Сообщение от
strat
Интересно как нод будет лечить, удалением или нормально, ведь детект есть.
Надеюсь ради такого случая они постараются лечить по-нормальному. Плюс не плохо было бы, чтобы отдельные лечилки выпустили.
-
Текущее состояние:
а) RkU 3.8SR1, к хвосту которого прилепился этот вариант Sality (g25o5mlg.ex~)
У Доктора Веба детекта нет ни на его онлайн-сканере, ни на VT
http://online.us.drweb.com/cache/?i=...68419de3964088
У Касперского по данным на сегодняшнее утро детекта на VT не было
б) модифицированный NOTEPAD.EXE + Sality с флешки (xlqnf.pif)
есть детект как Win32.Sector.21 Dr.Web (свежий с онлайна, утром детекта на VT еще не было)
http://online.us.drweb.com/cache/?i=...8a9d21827c2cbf
так и Касперский (по VT)
-
-
VBA его лечит. Пишу со слов коллег.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Доктор тоже должен лечить
Left home for a few days and look what happens...
-
-
Junior Member
- Вес репутации
- 53
руками вылечил, никто из антивирей его не смог победить, и авзэшка погибла. еще у каспера на сайте есть Sality Killer. помогает. но с зараженного компа туда не попасть, к тому же провайдер время от времени инет блокирует из-за спама, который эта гадость рассылает. А утилитка эта может в любой момент тоже погибнуть. В-общем на 4 компа у меня 8 часов ушло