Virus.Win32.Sality.aa
Bedreigingsscorekaart
EnigmaSoft Threat-scorekaart
EnigmaSoft Threat Scorecards zijn beoordelingsrapporten voor verschillende malwarebedreigingen die zijn verzameld en geanalyseerd door ons onderzoeksteam. EnigmaSoft Threat Scorecards evalueren en rangschikken bedreigingen met behulp van verschillende statistieken, waaronder reële en potentiële risicofactoren, trends, frequentie, prevalentie en persistentie. EnigmaSoft Threat Scorecards worden regelmatig bijgewerkt op basis van onze onderzoeksgegevens en statistieken en zijn nuttig voor een breed scala aan computergebruikers, van eindgebruikers die oplossingen zoeken om malware van hun systemen te verwijderen tot beveiligingsexperts die bedreigingen analyseren.
EnigmaSoft Threat Scorecards geven een verscheidenheid aan nuttige informatie weer, waaronder:
Rangschikking: de rangorde van een bepaalde bedreiging in de bedreigingsdatabase van EnigmaSoft.
Ernstniveau: het vastgestelde ernstniveau van een object, numeriek weergegeven, op basis van ons risicomodelleringsproces en onderzoek, zoals uitgelegd in onze dreigingsbeoordelingscriteria .
Geïnfecteerde computers: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers, zoals gerapporteerd door SpyHunter.
Zie ook Criteria voor dreigingsevaluatie .
Rangschikking: | 3,692 |
Dreigingsniveau: | 70 % (Hoog) |
Geïnfecteerde computers: | 19,158 |
Eerst gezien: | July 24, 2009 |
Laatst gezien: | September 17, 2023 |
Beïnvloede besturingssystemen: | Windows |
Sality is een geavanceerd, complex en extreem gevaarlijk computervirus. Als u een aanwijzing heeft dat uw pc met Sality is geïnfecteerd, moet u voorzichtig zijn en zo snel als menselijk mogelijk is met Sality omgaan. Sality kan op een verbazingwekkende verscheidenheid aan manieren schadelijk zijn voor uw computer en voor u, omdat Sality functies of componenten van elke belangrijke soort malware bevat en zichzelf regelmatig verandert, voortdurend kwaadaardiger en moeilijker te detecteren is dan voorheen.
Inhoudsopgave
De geschiedenis van Sality
Het Sality-virus verscheen voor het eerst in Rusland in 2003. Sindsdien is Sality een bedreiging gebleven en heeft Sality zich over de hele wereld verspreid, historisch gezien met een bijzonder sterke aanwezigheid in Brazilië. Sality was een van de meest voorkomende virussen van 2010 en aan het eind van het jaar, toen er een nieuwe mutatie van het virus opdook, was er een grote toename van het aantal besmettingen. Sommige onderzoekers hebben verklaard dat Sality momenteel een van de vijf meest voorkomende bedreigingen is die op computers worden gedetecteerd.
Strikt genomen begon Sality als een achterdeur als een manier om de gewone computerbeveiligingsmaatregelen te omzeilen. Hoewel Sality deze functie nog steeds heeft en de infectie nog steeds begint met een achterdeur, is Sality in de loop der jaren gegroeid en geëvolueerd om praktisch alle bekende soorten malware in zijn werking op te nemen. Dat is niet overdreven - naast de achterdeur omvatten de functies van Sality virussen, keyloggers, rootkits, wormen, Trojaanse paarden, downloaders, botnets, adware en zero-hour Windows-exploits. Sality heeft de gemeenschappelijke kenmerken van een klassiek virus, evenals enkele zeer moderne en zeer gevaarlijke mogelijkheden.
Hoe Sality werkt
Op dit moment kan een Sality-infectie beginnen met het gebruik van een geïnfecteerde USB-stick die uw computer zal infecteren, beginnend met een worm, of Sality kan uw computer infecteren beginnend met een Trojaans paard, nadat u op een geïnfecteerde spam-e-mail hebt geklikt of een geïnfecteerd bestand hebt gedownload. Hoe dan ook, als Sality eenmaal aanwezig is, opent Sality een achterdeur en kan andere malware downloaden; of in het geheim communiceren met een botnetcontroller of degene die het virus heeft verspreid.
Dan stelt Sality zichzelf op om zijn schade aan te richten. Sality kijkt naar wat er op uw systeem staat, infecteert lokale .exe- en .scr-bestanden, schakelt beveiligingssoftware en firewalls uit of verwijdert ze en schrijft schadelijke bestanden. Sality kan zelfs uw computer wijzigen om te voorkomen dat Windows in de veilige modus kan starten. Vervolgens kan het een keylogger installeren om toetsaanslagen vast te leggen en gebruikersnamen en wachtwoorden, creditcardnummers of andere gevoelige informatie te stelen. Sality kan ook een worm creëren die alle verwijderbare media infecteert, vooral USB-thumbdrives, en ervoor zorgt dat het virus zichzelf automatisch installeert op de computer waarop u de USB-drive vervolgens aansluit.
Nieuwe ontwikkelingen van Sality
Sinds kort wordt Sality gebruikt om 'zombiecomputers' te maken en geïnfecteerde computers aan botnets toe te voegen. Met andere woorden, Sality wordt gebruikt om hackers op afstand toegang te geven tot geïnfecteerde systemen en om die systemen te gebruiken om spam te verspreiden, frauduleuze webkliks te creëren of Denial Of Service-aanvallen uit te voeren tegen gerichte websites – allemaal zonder medeweten van de eigenaren van de geïnfecteerde computers. Een recente schatting van de omvang van het Sality-botnet schat het aantal computers dat via Sality is verbonden op 100.000.
Vanaf de zomer van 2010 waren er berichten dat Sality computers infecteerde via een trojan die misbruik maakte van een zogenaamde 'zero-hour'-kwetsbaarheid in Windows, door gebruik te maken van de manier waarop Windows met snelkoppelingen omging. Op deze manier lijkt Sality op het virus Stuxnet . Kortom, de Trojan infecteert de computer en maakt ergens een .dll-bestand en een .lnk-bestand, en zodra u naar de map navigeert waar het .lnk-bestand is opgeslagen, wordt de .dll geactiveerd en komt Sality in actie. Sinds de kwetsbaarheid is ontdekt, heeft Microsoft Windows-updates uitgegeven om de kwetsbaarheid te herstellen. Desalniettemin is dit beveiligingslek de laatste tijd een belangrijke oorzaak van de toename van het infectiepercentage van Sality, omdat veel mensen Windows gewoon niet vaak genoeg of helemaal niet updaten.
Saliteit blijft een belangrijke bedreiging, grotendeels vanwege de polymorfe aard. Het kan zijn eigen code wijzigen door zichzelf anders te coderen voor elk verschillend bestand of computer die Sality infecteert, wat bedoeld is om Sality moeilijk te detecteren door middel van scans. In ieder geval zijn experts van mening dat de makers van Sality het uiteindelijke doel hebben om Sality te gebruiken om zoveel mogelijk schadelijke en schadelijke code te verzamelen en op te nemen. Daarom zal voortdurende waakzaamheid tegen Sality in de nabije toekomst waarschijnlijk noodzakelijk zijn.
Aliassen
15 beveiligingsleveranciers hebben dit bestand als kwaadaardig gemarkeerd.
Antivirus software | Detectie |
---|---|
TrendMicro | TROJ_SALITY.AM |
Symantec | W32.Sality.AB |
Sophos | W32/Sality-AM |
Prevx1 | Cloaked Malware |
Panda | W32/Sality.AC.worm |
NOD32 | Win32/Sality.AD |
Microsoft | Worm:Win32/Sality.AH!dll |
McAfee | W32/Sality.dll |
Ikarus | Virus.Win32.Sality |
Fortinet | W32/KillAV.NH!tr |
F-Secure | Trojan.Win32.KillAV.nh |
eTrust-Vet | Win32/Maazben!generic |
eSafe | Win32.KillAV.nh |
DrWeb | Win32.Sector.4 |
Comodo | Win32.Sality.AD |
SpyHunter detecteert en verwijdert Virus.Win32.Sality.aa
Bestandssysteemdetails
# | Bestandsnaam | MD5 |
Detecties
Detecties: het aantal bevestigde en vermoedelijke gevallen van een bepaalde dreiging die is gedetecteerd op geïnfecteerde computers zoals gerapporteerd door SpyHunter.
|
---|---|---|---|
1. | 256f4b43f77e46cc37dbb0701850f7d38353a0f6e980174c0e79716641ac4e65 | 72410784cc6a484cc839f254d68e0eea | 3 |
2. | Virus.Win32.Iframer.c | 334215be25fe0b1d4ce4286318fd0472 | 2 |
3. | file.exe | 627b8095b1024a0ddfdfa01bf9aff803 | 1 |
4. | sa-643166.exe | e3bec9eb5e9375f37d681dd17bbbdd4e | 0 |
5. | Msmsgs.exe | 9e35482e8ef527840071f91218658932 | 0 |
6. | winjmxy.exe | c24411d4e373e19404eb3154f3233ad0 | 0 |
7. | 7g7G8B2C.exe | f339095d454772ad8cb9c340f13e1678 | 0 |
8. | bd3q0qix.exe | b503241f1dcc27fe6fb0998d2b05fdb4 | 0 |
9. | iii[1].exe | 5fc359ad746100efc0d82d6e1c29f77d | 0 |
10. | bd3q0qix.exe,vamsoft.exe | e7b53d00459864b22552f7119179fd29 | 0 |
11. | TckBX673.exe | 046f1a09caa11f2e69162af783d7e89c | 0 |
12. | load[1].exe | 426444c904c4d960118913467204ed0d | 0 |
13. | winkfmc.exe | f718b5d0f994207183694e207046ac69 | 0 |
14. | ParisHilton[1].exe | 4358fc8cb0254b909eab71431332918c | 0 |
15. | file.exe | e055f11422d5b9f33653b69a4ff6e9f4 | 0 |