Algumas observações sobre o Sality



Por Wings





Em alguns casos, a contaminação pelo Sality pode ser detectada pelo log do Hijackthis.
Geralmente as queixas são:

a) Não consigo instalar antivírus
b) Não consigo acessar o registro
c) Não consigo acessar o Gerenciador de tarefas
d) Não consigo entrar no Modo de segurança

Duas informações no log (relatório) do Hijackthis apontam para ele.
Os arquivos costumam, localizar-se na pasta C:\DOCUME~1\Usuário\CONFIG~1\Temp com letras aleatórias e geralmente, embora não seja a regra, iniciados por win...
Este achado dependerá da versão do Sality, não sendo uma regra geral.

C:\DOCUME~1\Usuário\CONFIG~1\Temp\winomsifc.exe
C:\DOCUME~1\Usuário\CONFIG~1\Temp\winisnkas.exe
etc..

 Haverá uma entrada no log do Hijackthis indicando que o registro está desativado.

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Dependendo do programa de varredura que vc use, outras informações interessantes poderão ser obtidas. No exemplo abaixo, mostra que tanto o registro como o gerenciador de tarefas encontram-se desativados. Quando o usuário tenta acessar um destes, recebe a informação que "A edição do registro foi desativada pelo administrador" ou que "O gerenciador de tarefas foi desativado pelo administrador".

As entradas abaixo indicam estas restrições de acesso:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System]
"DisableTaskMgr"=1
"DisableRegistryTools"=1

 Além disso, o sality costuma ter drivers que atuam como rootkits não permitindo que o usuário consiga acessar sites de antivírus, nem tão pouco instalar antivírus. Exemplos destes drivers são:

dac970nt
asc3360pr
emei
utnk
etc...

Outro achado interessante:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"C:\DOCUME~1\Usuário\CONFIG~1\Temp\winomsifc.exe"= "C :\DOCUME~1\Usuário\CONFIG~1\Temp\winomsifc.exe:*:E nabled:ipsec"
"C:\DOCUME~1\Usuário\CONFIG~1\Temp\winisnkas.e xe"= "C:\DOCUME~1\Usuário\CONFIG~1\Temp\winisnkas.e xe:* :Enabled:ipsec"
etc...

Nesta entrada do registro, mostram as políticas do firewall com as aplicações permitidas a terem acesso a internet. Se acessar o firewall do Windows, sob a aba "Exceções", teremos os arquivos maliciosos da pasta Temp acessando a internet.



Obs.: A imagem acima é meramente ilustrativa e o arquivo mostrado não corresponde a uma contaminação pelo sality.

Dependendo do grau de comprometimento no PC, a melhor solução é a formatação. Lembre-se de que trata-se de um file infector que contamina arquivos .exe e .scr. Portanto, quando for fazer um backup dos arquivos pessoais, não salve nenhum com estas extensões. Ao formatar, formate todas as partições existentes: C:\, D:\, E:\, etc...

Depois de formatar, instale seu Windows, o Office e baixe um antivírus. Lembre-se que é possível que algum dos seus arquivos .exe do seu backup seja a fonte da contaminação. Portanto, sempre antes de instalar algum programa do seu backup, faça um scan com o antivírus antes. Outra recomendação é não usar cracks nem keygens!!...estas são as fontes mais comuns deste tipo de contaminação.

Fonte: Fórum Guia do Hardware




Related Posts Plugin for WordPress, Blogger...
Feed Orkut Fórum Facebook Twitter
 

Copyright © Caixa de dicas | Política de Privacidade | Todos os direitos reservados |