# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Краткое описание Virus.Win32.Sality.aa

## mbabichev

Virus.Win32.Sality.aa - файловый вирус. Заражает исполнимые *.exe файлы размером более 100 кб с увеличением их длины. Иконка файла сохраняется. Вирус заражает файлы, которые запускаются пользователем (иногда вместо заражения файл портится и после этого не запускается), и некоторые случайные файлы. Системные файлы остаются нетронутыми.
Для собственной защиты вирус создает драйвер abp470n5 с путем к файлу system32\drivers\*.sys. После загрузки драйвера файл удаляется. Дамп памяти драйвера имеет размер 8192 байта и детектируется некоторыми антивирусами как Rootkit.Sality.A.
Вирус включает некоторые потенциально опасные службы Windows и разрешает отправку сообщения удаленному помощнику. Безопасный режим блокируется. Запрещается запуск диспетчера задач и редактора реестра. На всех съемных и сетевых дисках вирус создает файл autorun.inf и экземпляр тела с расширением exe или pif. Также вирус выполняет функции трояна-загрузчика, шпиона и кейлоггера.
Лечение вируса возможно в безопасном режиме, если его удастся запустить, или с чистой системы (загрузочного диска). Некоторые антивирусы не умеют лечить зараженные файлы и предлагают их удалить.

Если у кого-нибудь есть более подробная информация, буду очень признателен.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shu_b

http://vms.drweb.com/search/?q=Virus.Win32.Sality.aa
Одно описание - http://vms.drweb.com/virus/?i=172448

Другие названия ( http://www.securelist.com/ru/descrip...in32.Sality.aa )
Virus.Win32.Sality.aa («Лаборатория Касперского») также известен как:
Virus.Win32.Sality.af («Лаборатория Касперского»)
Worm.Win32.Agent.vu («Лаборатория Касперского»)
Trojan-GameThief.Win32.Magania.gen («Лаборатория Касперского»)
Virus.Win32.Sality.ab («Лаборатория Касперского»)
Virus.Win32.Sality.ab («Лаборатория Касперского»)
Virus.Win32.Sality.ad («Лаборатория Касперского»)
Virus.Win32.Sality.ac («Лаборатория Касперского»)
Worm.Win32.AutoRun.eiy («Лаборатория Касперского»), 
Virus: W32/Sality.gen (McAfee)
W32/Sality-AM (Sophos)
W32/Sality.AH (Panda)
W32/Sality.AK (Panda)
W32/Sality.AK (FPROT)
W32/Backdoor2.DAFQ (FPROT)
Virus:Win32/Sality.AM (MS(OneCare))
BackDoor.IRC.Flood.8 (DrWeb)
Win32.Sector.17 (DrWeb)
Win32/Sality.NAU virus (Nod32)
Win32.Sality.OG (BitDef7)
Win32.Sality.AO.Gen (VirusBuster)
Win32.Sality.AP.Gen (VirusBuster)
Win32:Sality (AVAST)
Virus.W32.Sality (Ikarus)
Worm.Win32.Hamweq (Ikarus)
TR/Inject.kcm (AVIRA)
W32.Sality.AE (NAV)
W32/Sality.AQ (Norman)
W32/Sality.AN (Norman)
Win32.KUKU.GEN (Rising)
PE_SALITY.DAM (TrendMicro)
PE_SALITY.EN-1 (TrendMicro)


Symantec http://www.symantec.com/security_res...847-99&tabid=2

----------


## mbabichev

> Win32.Sector.17 (DrWeb)


Именно так он и детектился доктором.

По поводу блокировки сайтов сказать определенно ничего не могу, потому что в комплекте на компе были трояны (в том числе Kido) и бэкдоры. Из лечилок в нормальном режиме не запускались AVZ, Cureit и Gmer (первые два вирус испортил, последний заразил). HijackThis, IceSword, RkU и тотошка работали нормально (первые два вирус также заразил).

----------


## ccoder

Нейтрализовать серьезные вирусы поможет *Kaspersky Virus Removal Tool 2010.*
Скачать можно с файлообменника, т.к. обычно антивирусные сайты при этом блокируются.
После быстрой проверки данной утилитой следует установить или включить полноценный антивирус, который теперь запускается  :Smiley:

----------


## redx

Сейчас появилась замечательная утилита SalityKiller.exe от Kaspersky Lab
суть ее понятна из названия
при запуске деактивирует вирус в оперативной памяти, вносит исправления в реестр и файлы настроек системы, а также уничтожает зараженные файлы.
работает на всех версиях Windows начиная с 2000

----------


## Никита Соловьев

> Сейчас появилась замечательная утилита SalityKiller.exe


Вообще-то больше года назад она появилась...

----------


## Nvidia

> Сейчас появилась замечательная утилита SalityKiller.exe от Kaspersky Lab
> суть ее понятна из названия
> при запуске деактивирует вирус в оперативной памяти, вносит исправления в реестр и файлы настроек системы, а также уничтожает зараженные файлы.
> работает на всех версиях Windows начиная с 2000


Только качать на заражённом компе бесполезно..
Можно записать её на здоровой машине на чистый диск, вместе с тем же Куррейтом.
А потом на больной машине запустить, прописать её в автозагрузкуи запустить одновременно Курейт от Доктора Веба.
Неплохо работает

----------

