none
Sobre o Sality e suas variantes

    Question

  • Boa noite pessoal.

    Eu gostaria de saber por onde o sality entre ou seja que brecha ele explora se é uma falha no SO ou algum software e se tem alguma correção para que ele não entre novamente no SO e faça o seu estrago desvastador.

    Somente isso.

    Muito Grato


    Em busca de soluções. ::-:: Itautec W7415 - C2D T6600 - HD500GB - 4GB RAM - DVD-RW ::-::

    Sunday, June 17, 2012 10:40 PM

Answers

  • Boa Tarde,

    Uma breve descrição:
    SALITY:

    Conhecido como: Sality.NAC, Backdoor.Rustok, Downloader.VB.vr, PE_SALITY.A, Trojan.Downloader.Adload.N, Trojan-Downloader.Win32.VB.VR, Virus.Win32.Sality.a, Virus.Win32.Sality.k, W32.HLLP.Sality!inf, W32.Sality.a, W32/Kookoo.A, W32/Kookoo-A, W32/Sality.gen, W32/Sality.J, W32/Sality.m, W32/Sality.M, W32/Sality.N, W32/Sality-A, Win32.HLLP.Sector, Win32.Sality.A, Win32/Sality, Win32/Sality.B, Win32/Sality.I, Win32/Sality.NAC
    Primeira detecção: N/A
    Sistemas afetados: Sistemas Windows
    Serviço explorado: Nenhum
    Atualização do sistema operacional: Nenhuma específica, manter o sistema operacional atualizado com últimas versões e patches.

    DESCRIÇÃO:
    A infecção por esta praga se dá¡ por e-mail, o virus faz cópias de si mesmo em arquivos DLL, dependendo de sua versão esses arquivos podem conter nomes diferentes como SYSLIB32.DLL ou SYSDLL.DLL, infecta todos os executáveis do sistema (até onde consegue encontrar), deleta arquivos de definição de virus, utilizados pelos antivirus, grava todas as teclas digitadas pelo usuário, age como um mini servidor Proxy,exclui ou encerra o processo de softwares relacionados a segurança.

    Veja mais alguns dos arquivos criads pelo Sality:
    \temp\oledsp32.dll
    \temp\sysdll.dll
    \temp\syslib32.dll
    c:\windows\system32\oledsp32.dll
    c:\windows\system32\sysdll.dll
    c:\windows\system32\syslib32.dll

    SINTOMAS:
    Torna o sistema lento devido a verificações contantes de arquivos executáveis, programas relacionados a segurança são fechados inesperadamente, abre várias portas de conexão.

    Uma praga bem complicada de combater, a maioria dos antivirus já conseguem remover.
    O dífícil é garantir que não tenha mais nenhum local infectado na sua rede, basta conectar novamente algum PC com vírus que começa tudo de novo.

    Os novos Sistemas Operacionais como o Windows 7, Server 2008 R2 não estão sofrendo com este vírus.
    A segurança destes novos Sistemas Operacionais é bem mais aprimorada, quando este vírus começou a infectar alguns PCS, já estava em fase de migração dos clientes para o Windows 7, e pronto. Problemas resolvido.

    Em Servers 2003 e Clientes XP a batalha é ardua.

    Grande Abraço.

    * Ajude a organizar melhor o Fórum, dando Feedback sobre a dúvida solicitada, e marcando como Útil e como Resposta, a postagem dos colaboradores que resolveram o seu caso, ou foram úteis *

    Monday, June 18, 2012 4:46 PM
  • Ola, tudo bem?

    Em alguns casos, o nivel de infecção desses virus é tão intrusiva que voce é obrigado a desligar a internet de sua rede, para evitar que eles se propagam para outas máquinas.

    Quando voce não tem as atualizações do Windows instaladas e ja tem o virus no computador, o proprio virus faz atualizações na internet para burlar as atualizações do próprio antivirus. Esse na maioria das vezes é seu mecanismo de defesa. Sendo assim ele consegue propagar via rede para outras máquinas.

    Essa seria uma receita básica para corrigir o problema.

    Espero ter ajudado.

    Att,


    Danilo A. Gomes

    Friday, June 22, 2012 9:01 PM

All replies

  • Boa Tarde,

    Uma breve descrição:
    SALITY:

    Conhecido como: Sality.NAC, Backdoor.Rustok, Downloader.VB.vr, PE_SALITY.A, Trojan.Downloader.Adload.N, Trojan-Downloader.Win32.VB.VR, Virus.Win32.Sality.a, Virus.Win32.Sality.k, W32.HLLP.Sality!inf, W32.Sality.a, W32/Kookoo.A, W32/Kookoo-A, W32/Sality.gen, W32/Sality.J, W32/Sality.m, W32/Sality.M, W32/Sality.N, W32/Sality-A, Win32.HLLP.Sector, Win32.Sality.A, Win32/Sality, Win32/Sality.B, Win32/Sality.I, Win32/Sality.NAC
    Primeira detecção: N/A
    Sistemas afetados: Sistemas Windows
    Serviço explorado: Nenhum
    Atualização do sistema operacional: Nenhuma específica, manter o sistema operacional atualizado com últimas versões e patches.

    DESCRIÇÃO:
    A infecção por esta praga se dá¡ por e-mail, o virus faz cópias de si mesmo em arquivos DLL, dependendo de sua versão esses arquivos podem conter nomes diferentes como SYSLIB32.DLL ou SYSDLL.DLL, infecta todos os executáveis do sistema (até onde consegue encontrar), deleta arquivos de definição de virus, utilizados pelos antivirus, grava todas as teclas digitadas pelo usuário, age como um mini servidor Proxy,exclui ou encerra o processo de softwares relacionados a segurança.

    Veja mais alguns dos arquivos criads pelo Sality:
    \temp\oledsp32.dll
    \temp\sysdll.dll
    \temp\syslib32.dll
    c:\windows\system32\oledsp32.dll
    c:\windows\system32\sysdll.dll
    c:\windows\system32\syslib32.dll

    SINTOMAS:
    Torna o sistema lento devido a verificações contantes de arquivos executáveis, programas relacionados a segurança são fechados inesperadamente, abre várias portas de conexão.

    Uma praga bem complicada de combater, a maioria dos antivirus já conseguem remover.
    O dífícil é garantir que não tenha mais nenhum local infectado na sua rede, basta conectar novamente algum PC com vírus que começa tudo de novo.

    Os novos Sistemas Operacionais como o Windows 7, Server 2008 R2 não estão sofrendo com este vírus.
    A segurança destes novos Sistemas Operacionais é bem mais aprimorada, quando este vírus começou a infectar alguns PCS, já estava em fase de migração dos clientes para o Windows 7, e pronto. Problemas resolvido.

    Em Servers 2003 e Clientes XP a batalha é ardua.

    Grande Abraço.

    * Ajude a organizar melhor o Fórum, dando Feedback sobre a dúvida solicitada, e marcando como Útil e como Resposta, a postagem dos colaboradores que resolveram o seu caso, ou foram úteis *

    Monday, June 18, 2012 4:46 PM
  • Ola, tudo bem?

    Em alguns casos, o nivel de infecção desses virus é tão intrusiva que voce é obrigado a desligar a internet de sua rede, para evitar que eles se propagam para outas máquinas.

    Quando voce não tem as atualizações do Windows instaladas e ja tem o virus no computador, o proprio virus faz atualizações na internet para burlar as atualizações do próprio antivirus. Esse na maioria das vezes é seu mecanismo de defesa. Sendo assim ele consegue propagar via rede para outras máquinas.

    Essa seria uma receita básica para corrigir o problema.

    Espero ter ajudado.

    Att,


    Danilo A. Gomes

    Friday, June 22, 2012 9:01 PM