Sality ist eine Familie von Dateien, die schädliche Software infizieren, die Windows-Computer beeinträchtigt, indem Infektionen durch EXE- und SCR-Dateien verbreitet werden.
Sality, das ursprünglich in Russland angefangen haben könnte, hat sich im Laufe der Jahre stark weiterentwickelt, so dass verschiedene Varianten der Malware unterschiedliche Eigenschaften aufweisen. Bei den meisten Sality-Varianten handelt es sich jedoch um Würmer, da sie eine Art Autorun-Funktion verwenden, um ausführbare Dateien über austauschbare oder erkennbare Laufwerke zu infizieren.
Einige sind sogar Sality-Botnets, die infizierte Computer mit einem eigenen P2P-Netzwerk verbinden, sodass die Computer insgesamt die Möglichkeit bieten, private Daten zu stehlen, Kennwörter zu knacken, Spam zu versenden und vieles mehr.
Der Sality-Virus kann auch einen Trojaner-Downloader enthalten, der zusätzliche Malware über das Internet installiert, und einen Keylogger, der Tastatureingaben überwacht und aufzeichnet.
Hinweis: Einige Antivirus-Programme beziehen sich auf die Sality-Viren unter anderen Namen wie SaILoad, SaliCode, Kookoo und Kukacka.
Wie es funktioniert
Wie oben erwähnt, infiziert die Sality-Malware ausführbare Dateien auf dem infizierten Computer.
In den meisten Versionen der Malware befindet sich eine spezielle DLL-Datei auf dem Computer %SYSTEM% Ordner und könnte es "wmdrtc32.dll" oder für die komprimierte Version "wmdrtc32.dl_" nennen.
Allerdings verwenden nicht alle Varianten des Sality-Virus eine DLL-Datei auf diese Weise. Einige laden den Code direkt in den Arbeitsspeicher, und die DLL-Datei wird nirgendwo in den eigentlichen Festplattendateien gefunden.
Andere speichern möglicherweise sogar einen Gerätetreiber im % SYSTEM% Treiber Mappe. Das Schwierige daran ist, dass es unter einem zufälligen Dateinamen gespeichert werden kann. Wenn Ihre Antivirensoftware nur Dateinamen liest, um nach Viren zu suchen, und nicht nach dem Inhalt der Datei, besteht eine gute Chance, dass der Sality-Virus nicht erkannt wird .
Updates der Sality-Malware werden über dezentrale URL-Listen über HTTP übermittelt. Nach der Infektion muss die Malware nur hinter den Kulissen Updates anfordern, um sich selbst zu transformieren und zu wachsen, um neue Dateien herunterzuladen, um andere Computer zu infizieren.
Anzeichen einer Infektion
Es ist wichtig, sich der Symptome einer Infektion mit dem Sality-Virus bewusst zu sein - was kann Ihr Computer tun oder wie er funktionieren wird, wenn der Sality-Virus vorliegt.
Wie bei vielen anderen Schadprogrammen kann Sality eine der folgenden Aktionen ausführen:
- Deaktivieren Sie die Antivirensoftware und den Zugriff auf bestimmte Antiviren- und Sicherheits-Websites.
- Booten im abgesicherten Modus verhindern.
- Entfernen Sie sicherheitsrelevante Dateien, Prozesse und / oder Dienste.
- Speichern Sie eine CMD-, PIF- und / oder EXE-Datei im Stammverzeichnis erkennbarer Laufwerke zusammen mit einer Datei autorun.inf, die Anweisungen zum Laden der abgelegten Dateien enthält, wenn auf das Laufwerk zugegriffen wird.
- Senden Sie Spam an Ihre E-Mail-Kontakte, indem Sie auf das Adressbuch Ihres E-Mail-Clients zugreifen.
- Löschen Sie Dateien, die eine bestimmte Dateierweiterung enthalten.
Wie lösche ich?
Um eine Infektion mit dem Sality-Virus zu verhindern, sollten Sie Ihren Computer mit den neuesten Patches und Sicherheitsdefinitionen auf dem neuesten Stand halten. Verwenden Sie Windows Update und aktualisieren Sie Ihre Antivirensoftware, um diesen Angriff zu verhindern.
Wenn Sie bereits wissen, dass Sie das Sality-Virus haben, können Sie es auf ähnliche Weise entfernen. Scannen Sie Ihren Computer mit einem aktualisierten und leistungsfähigen Antivirenprogramm nach Malware. Mit einem Spyware-Entferner können Sie möglicherweise den Sality-Virus fangen, da er auch als Spyware fungiert. Wenn diese nicht funktionieren oder Sie keinen regelmäßigen Zugriff auf Windows haben, verwenden Sie stattdessen ein startfähiges Antivirenprogramm.
Einige Hersteller von Antiviren-Programmen enthalten ein spezielles Tool, das speziell für den Umgang mit dem Sality-Virus entwickelt wurde. Zum Beispiel bietet AVG ein beliebtes kostenloses Antivirenprogramm an. Dazu gehört auch der Sality Fix, den Sie kostenlos herunterladen können, um den Sality-Virus automatisch zu entfernen. Mit Kaspersky können Sie das kostenlose SalityKiller-Tool verwenden.
Wenn eine Datei mit Sality infiziert ist, lassen Sie die Software die Datei bereinigen. Wenn andere Malware gefunden wird, löschen Sie den Virus oder ergreifen Sie die vom Scanner empfohlene Aktion.
Einige Antivirenprogramme erkennen den Sality-Virus möglicherweise nicht. Wenn Sie vermuten, dass Sie den Virus haben, aber Ihre Sicherheitssoftware ihn nicht findet, laden Sie ihn in VirusTotal hoch, um einen Online-Scan mit verschiedenen Scan-Engines durchzuführen.
Eine andere Option ist das manuelle Löschen der Virendateien, indem auf dem Computer mit einem Dateisuchprogramm wie "Alles" gesucht wird. Es besteht jedoch eine gute Chance, dass die Dateien gesperrt sind und nicht auf normale Weise entfernt werden können. Antivirenprogramme können dies normalerweise vermeiden, indem die Malware zum Löschen geplant wird, wenn der Computer heruntergefahren wird.
Was macht man als nächstes
Wenn Sie sicher sind, dass der Sality-Virus entfernt wurde, sollten Sie die Autorun-Funktion deaktivieren, um eine erneute Infektion über USB-Laufwerke zu verhindern.
Es ist auch wichtig, die Kennwörter für alle Online-Konten zu ändern, die Sie während der Infektion verwendet haben. Wenn der Sality-Virus Ihre Tastatureingaben protokollierte, besteht eine gute Chance, dass er Ihre Bankdaten, Social-Media-Anmeldeinformationen, das E-Mail-Passwort usw. aufzeichnete. nachdem die infektion weg ist ) und das Überprüfen Ihrer Konten auf Diebstahl ist ein wichtiger Schritt.
Installieren Sie ein ständig aktives, ständig aktualisierendes, benutzerfreundliches Antivirenprogramm, damit es weniger wahrscheinlich ist, dass dies erneut geschieht. Stellen Sie sicher, dass Wechseldatenträger auf Malware überprüft werden können. Außerdem können Sie geplante Prüfungen einrichten, um regelmäßig nach Malware aller Art zu suchen, nicht nur nach dem Sality-Virus.
