Показано с 1 по 9 из 9.

Новый Sality – Sality.ag

  1. #1
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837

    Новый Sality – Sality.ag

    В прошедшую пятницу специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa. Вирус Sality.aa последний раз менялся примерно год назад, причём незначительно, однако на протяжении двух последних лет он входит в пятерку вредоносных программ, чаще всего детектируемых на компьютерах пользователей. Все предыдущие модификации Sality не имели такого успеха. За “aa” последовала версия “ae”, которая использовала технику заражения EPO, но из-за простого алгоритма дешифровки и неудачной техники заражения она не стала популярной у злоумышленников. Последующие версии также не снискали популярности из-за значительного упрощения алгоритма дешифровки.

    Новой разновидности была присвоена модификация ag. Почему для нас так интересен этот новый экземпляр? В ней применяется качественно новый алгоритм дешифровки и множество новых «полезных» инструкций. Мы считаем, что эта модификация в скором времени заменит устаревшую версию «аа» и станет очень популярной.
    ...
    The worst foe lies within the self...

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Первая ласточка http://virusinfo.info/showthread.php?t=74900

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    130
    У нас в локалку занесли эту дрянь в конце прошлой недели. По состоянию на утро понедельника ни Каспер ни ДокторВеб это не лечили. По состоянию на сегодняшнее утро Каспер детектировал только 1 из 2 сэмплов, а ДокторВеб - ни одного. Ниже цитата из переписки:
    --
    Я немножко поигрался с копией вируса, который притащил домой на флешке. Пока есть следующие результаты (это копия сообщений в аську, которые я сегодня отправлял Тимуру):
    --
    psw (08:54:10 29/03/2010)
    Привет.
    Я тут посмотрел на свою флешку с Win32/Sality. послал зараженный файл на VirusTotal.
    Имеем проблему: ни Доктор Веб, ни Касперский этой заразы не видят. Список видящих (и невидящих)
    http://www.virustotal.com/ru/analisi...92c-1269837986
    Если так, то LiveCD не сработает. AVPTools и CureIt! по-видимому, тоже.
    Видит Аваст, но я не знаю, умеет ли он это лечить.

    psw (09:00:05 29/03/2010)
    Попробовал вылечить Авастом (у которого есть детект) - неудачно, вылечить не смог.

    psw (11:22:06 29/03/2010)
    Скачал и поставил на виртуалку MSE (бесплатный от Микрософт), есть детект нашей версии Sality и что хорошо - умеет лечить. Что плохо - штатная установка идет через инсталлятор, пока не знаю, можно ли его заставить работать в режиме сканера. И при запуске проверяет подлинность Виндов. Оказалось, что у меня все подлинное
    По поводу распространения через флешки: там садится autirun.inf ссылающийся на что-то там.pif (зараженное Sality, естественно). Детект этого ПИФа на ВирусТотал такой
    http://www.virustotal.com/ru/analisi...fb7-1269846470
    Что видно: Доктор Веб и Касперский его (пока) не детектируют. Детектирует Аваст (но не лечит), детектирует Микрософт (и лечит тоже). Что самое смешное, детектирует Симантек (правда, я не знаю, с какого числа идет этот детект).

  5. #4
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    162
    Вес репутации
    109
    Интересно как нод будет лечить, удалением или нормально, ведь детект есть.

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.08.2009
    Адрес
    Spb
    Сообщений
    479
    Вес репутации
    125
    Цитата Сообщение от strat Посмотреть сообщение
    Интересно как нод будет лечить, удалением или нормально, ведь детект есть.
    Надеюсь ради такого случая они постараются лечить по-нормальному. Плюс не плохо было бы, чтобы отдельные лечилки выпустили.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.01.2008
    Сообщений
    101
    Вес репутации
    130
    Текущее состояние:
    а) RkU 3.8SR1, к хвосту которого прилепился этот вариант Sality (g25o5mlg.ex~)
    У Доктора Веба детекта нет ни на его онлайн-сканере, ни на VT
    http://online.us.drweb.com/cache/?i=...68419de3964088
    У Касперского по данным на сегодняшнее утро детекта на VT не было

    б) модифицированный NOTEPAD.EXE + Sality с флешки (xlqnf.pif)
    есть детект как Win32.Sector.21 Dr.Web (свежий с онлайна, утром детекта на VT еще не было)
    http://online.us.drweb.com/cache/?i=...8a9d21827c2cbf
    так и Касперский (по VT)

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    VBA его лечит. Пишу со слов коллег.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Доктор тоже должен лечить
    Left home for a few days and look what happens...

  10. #9
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    1
    Вес репутации
    53
    руками вылечил, никто из антивирей его не смог победить, и авзэшка погибла. еще у каспера на сайте есть Sality Killer. помогает. но с зараженного компа туда не попасть, к тому же провайдер время от времени инет блокирует из-за спама, который эта гадость рассылает. А утилитка эта может в любой момент тоже погибнуть. В-общем на 4 компа у меня 8 часов ушло

Похожие темы

  1. Sality.aa
    От maverikmd в разделе Malware Removal Service
    Ответов: 1
    Последнее сообщение: 01.09.2009, 22:31
  2. Sality
    От Luka_ в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 16.04.2009, 12:53
  3. Ответов: 5
    Последнее сообщение: 04.09.2008, 11:00
  4. Sality.NAO
    От cavetroll в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 25.06.2008, 11:42
  5. W32.Sality.AE (SAV)
    От yumm в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 10.05.2008, 22:42

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01183 seconds with 17 queries