# Форум на русском языке  > Новости  > Новости компьютерной безопасности  >  Новый Sality – Sality.ag

## Kuzz

В прошедшую пятницу специалистами ЛК была обнаружена новая модификация наиболее популярного в настоящее время полиморфного инфицирующего вируса – Sality.aa. Вирус Sality.aa последний раз менялся примерно год назад, причём незначительно, однако на протяжении двух последних лет он входит в пятерку вредоносных программ, чаще всего детектируемых на компьютерах пользователей. Все предыдущие модификации Sality не имели такого успеха. За “aa” последовала версия “ae”, которая использовала технику заражения EPO, но из-за простого алгоритма дешифровки и неудачной техники заражения она не стала популярной у злоумышленников. Последующие версии также не снискали популярности из-за значительного упрощения алгоритма дешифровки.

Новой разновидности была присвоена модификация ag. Почему для нас так интересен этот новый экземпляр? В ней применяется качественно новый алгоритм дешифровки и множество новых «полезных» инструкций. Мы считаем, что эта модификация в скором времени заменит устаревшую версию «аа» и станет очень популярной. 
...
securelist.com

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Гриша

Первая ласточка http://virusinfo.info/showthread.php?t=74900

----------


## psw

У нас в локалку занесли эту дрянь в конце прошлой недели. По состоянию на утро понедельника ни Каспер ни ДокторВеб это не лечили. По состоянию на сегодняшнее утро Каспер детектировал только 1 из 2 сэмплов, а ДокторВеб - ни одного. Ниже цитата из переписки:
--
Я немножко поигрался с копией вируса, который притащил домой на флешке. Пока есть следующие результаты (это копия сообщений в аську, которые я сегодня отправлял Тимуру):
--
psw (08:54:10 29/03/2010)
Привет.
Я тут посмотрел на свою флешку с Win32/Sality. послал зараженный файл на VirusTotal.
Имеем проблему: ни Доктор Веб, ни Касперский этой заразы не видят. Список видящих (и невидящих)
http://www.virustotal.com/ru/analisi...92c-1269837986
Если так, то LiveCD не сработает. AVPTools и CureIt! по-видимому, тоже.
Видит Аваст, но я не знаю, умеет ли он это лечить.

psw (09:00:05 29/03/2010)
Попробовал вылечить Авастом (у которого есть детект) - неудачно, вылечить не смог.

psw (11:22:06 29/03/2010)
Скачал и поставил на виртуалку MSE (бесплатный от Микрософт), есть детект нашей версии Sality и что хорошо - умеет лечить. Что плохо - штатная установка идет через инсталлятор, пока не знаю, можно ли его заставить работать в режиме сканера. И при запуске проверяет подлинность Виндов. Оказалось, что у меня все подлинное  :Smiley: 
По поводу распространения через флешки: там садится autirun.inf ссылающийся на что-то там.pif (зараженное Sality, естественно). Детект этого ПИФа на ВирусТотал такой
http://www.virustotal.com/ru/analisi...fb7-1269846470
Что видно: Доктор Веб и Касперский его (пока) не детектируют. Детектирует Аваст (но не лечит), детектирует Микрософт (и лечит тоже). Что самое смешное, детектирует Симантек (правда, я не знаю, с какого числа идет этот детект).

----------


## strat

Интересно как нод будет лечить, удалением или нормально, ведь детект есть.

----------


## craftix

> Интересно как нод будет лечить, удалением или нормально, ведь детект есть.


Надеюсь ради такого случая они постараются лечить по-нормальному. Плюс не плохо было бы, чтобы отдельные лечилки выпустили.

----------


## psw

Текущее состояние:
а) RkU 3.8SR1, к хвосту которого прилепился этот вариант Sality (g25o5mlg.ex~)
У Доктора Веба детекта нет ни на его онлайн-сканере, ни на VT
http://online.us.drweb.com/cache/?i=...68419de3964088
У Касперского по данным на сегодняшнее утро детекта на VT не было

б) модифицированный NOTEPAD.EXE + Sality с флешки (xlqnf.pif)
есть детект как Win32.Sector.21 Dr.Web (свежий с онлайна, утром детекта на VT еще не было)
http://online.us.drweb.com/cache/?i=...8a9d21827c2cbf
так и Касперский (по VT)

----------


## PavelA

VBA его лечит. Пишу со слов коллег.

----------


## ALEX(XX)

Доктор тоже должен лечить

----------


## mijkl

руками вылечил, никто из антивирей его не смог победить, и авзэшка погибла. еще у каспера на сайте есть Sality Killer. помогает. но с зараженного компа туда не попасть, к тому же провайдер время от времени инет блокирует из-за спама, который эта гадость рассылает. А утилитка эта может в любой момент тоже погибнуть. В-общем на 4 компа у меня 8 часов ушло

----------

