A Sality malware működése és eltávolítása

A Sality (más néven SalLoad vagy Kookoo) egy rosszindulatú szoftver család, amely Microsoft Windows alapú rendszereket fertőz. Először 2003-ban fedezték fel és azóta egy dinamikus, komplex rosszindulatú kód fejlődött ki belőle.

A fertőzött hostok peer-to-peer hálózat tagjaivá válnak, amelyeket rosszindulatú felhasználhatók spam küldésére, a kommunikáció elrejtésére, bizalmas adatok megszerzésére, jelszavak feltörésére használhatnak.

Működés

A Sality legtöbb variánsa DLL-fájlokat használ a fertőzésre. Például a lemezre írt fájlok a következőképpen nézhetnek ki:

  • %SYSTEM%\wmdrtc32.dll
  • %SYSTEM%\wmdrtc32.dl_

A DLL-fájl tartalmazza a vírusos kód nagy részét. A “.dl_” kiterjesztésű fájl egy tömörített másolat.

Az utóbbi verziók a lemezre írás helyett a memóriába töltik be a DLL-t.

Hogy elkerülje a felfedezését, a Sality nem fertőz bizonyos fájlokat:

  • a System File Checker által védett fájlokat
  • a %SystemRoot% könyvtárban lévő fájlokat
  • vírusirtó,tűzfal futtatható állományait, amelyeket bizonyos karakterláncok alapján azonosít

Annak érdekében,hogy a fertőzött rendszer része tudjon maradni, rootkit technikákat alkalmaz.

Egy message hook (software komponensek közötti üzenetek megfigyelése és feldolgozása) telepítésével a Sality kódot fecskendezhet be futó folyamatokba.

A Sality gyakran keresi és megpróbálja törölni a vírusirtó és biztonsági alkalmazások frissítéseit.

A különböző variánsok jellemző tevékenységei:

  • Módosítják a registry-t, hogy csökkentsék a számítógép biztonságát.
  • Bizalmas információ( jelszó, billentyűzet aktivitás) megszerzése.
  • Hordozható és távoli meghajtókkal, hálózati megosztással való terjedés.
  • .LNK fájlok elhelyezése, amelyekkel azonnal futtatható a vírus.
  • A felhasználó Outlook fiókjának, Internet Explorer gyorsítótárának átvizsgálása spam üzenetek küldéséhez.

A káros kód gyakran más folyamatok végrehajtása során fut le, így megnehezítve a tisztítást ugyanakkor segítve a tűzfalak kijátszását.

Eltávolítás

A Sality megváltoztathatja a Windows Registry-t ezért nehézkes lehet a vírusirtó frissítése. Mivel a Sality elrejti magát, hogy a rendszerben tudjon maradni, egy megbízható környezetről történő bootolás, majd a fertőzés kiirtása oldhatja meg a problémát.

Fontos hogy minden fertőzött forrást találjunk meg és távolítsuk el a vírust, mert a Sality gyakran hordozható és távoli hálózatok meghajtóit is megfertőzi.

A Norton Power Eraser tool képes eltávolítani a fertőzést. Magyar nyelvű leírás

Valamint a Microsoft Security Essentials biztonsági szoftvere is felismeri és eltávolítja ezt a fenyegetést (Win32/Sality).

Eltávolítás után előfordulhat, hogy szükség van a Registry Editor futásának engedélyezésére

  • Nyissa meg a ”’Start Menü”’-t
  • Indítsa el a ”’Futtatás”’ programot, írja a mezőbe a ‘cmd’ karakterláncot és nyomjon ”’Enter”’-t (elindul a Parancssor)
  • A parancssorba írja a következőt, majd nyomjon ”’Enter”’-t : “reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f”
  • Írja be, hogy ”’exit”’, majd nyomjon ”’Enter”’-t

Előfordulhat, hogy a fertőzés megváltoztatja a rendszerbeállításokat. Szükség lehet a Windows helyreállítására:

Microsoft Windows helyreállítás:

Ha a Windows rendszerfájljaiban van jelen a fertőzés a fájlok visszaállíthatók az eredeti állapotukba a Windows telepítő CD-jéről

  1. Tegye be a Windows telepítő CD-t
  2. Indítsa újra a számítógépet (Ha tudja, hogy a számítógép CD-ről bootol a következő 3, 4, 5, 6 lépéseket kihagytatja)
  3. A számítógép indulásakor figyelje a BIOS indításhoz szükséges gombot (általában ”’F1”’, ”’F2”’, ”’F10”’, ”’Delete”’)
  4. A BIOS képernyőjén lépjen be a ”’Boot Menu”’-be
  5. Állítsa be a boot-sorrendet (Boot Order/ Boot Sequence) úgy, hogy a CD/DVD-meghajtó legyen a lista élén
  6. Mentse a beállításokat és lépjen ki a BIOS-ból (általában ”’F10”’)
  7. Ha elindult a rendszer a CD/DVD-meghajtóról válasszon nyelvet
  8. Navigáljon a Rendszer Helyreállítása\Indítási javítás menübe (A megfelelő operációs rendszert kiválasztva)
  9. Kövesse a varázsló utasításait
  10. A rendszer újraindítása után visszaállíthatja a boot-sorrendet, hogy a Windows a merevlemezről induljon

Megelőzés

Az alábbi címek blokkolása a tűzfalban, routerben vagy lokális átirányításuk a 127.0.0.1 címre (ismert Sality fertőzött oldalak):

  • 89.119.67.154
  • balsfhkewo7i487fksd.info
  • bcash-ddt.net
  • bclr-cash.net
  • bddr-cash.net
  • bmakemegood24.com
  • bmoney-frn.net
  • bperfectchoice1.com
  • bpowqbvcfds677.info
  • btrn-cash.net
  • buynvf96.info
  • bxxxl-cash.net
  • kjwre77638dfqwieuoi.info
  • kjwre9fqwieluoi.info
  • kukutrustnet777.info
  • kukutrustnet888.info
  • kukutrustnet987.info
  • oceaninfo.co.kr
  • pedmeo222nb.info
  • pzrk.ru
  • technican.w.interia.pl

A vírus egy véletlenül generált portot használ lehallgatásra, de előfordul, hogy egy alapértelmezett portot használ. Az UDP 9674-es port blokkolása nagyban növelheti a rendszer biztonságát.

Egyéb lehetőségek:

Többrétegű védelem felépítése és ezek karbantartása

  • Aktív Network Threat Protection (NTP)
  • Intrusion Prevention System (IPS)
  • Tűzfal
  • Antivírus
  • Insight
  • SONAR

Támadási felület csökkentése

  • Alkalmazások futtatásának korlátozása
  • Csatlakoztatható eszközök korlátozása

További lehetőségek

  • Böngészők bővítményeinek patchelése (frissítése).
  • P2P használatának blokkolása.
  • AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak).
  • Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása).
  • Erős jelszavak használata (időközönkénti megváltoztatása).
  • Felhasználói jogok korlátozása.
  • Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges).
  • Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok).
  • Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha  eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött.)
  • Biztonsági mentések készítése.

Linkek

  • http://en.wikipedia.org/wiki/Sality
  • http://www.symantec.com/connect/blogs/sality-botnet
  • http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99
  • http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Win32/Sality
  • http://windows.microsoft.com/hu-hu/windows/security-essentials-download
  • http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99