Virus.Win32.Sality.aa

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa
Question book.svg
Esta página ou secção não cita nenhuma fonte ou referência, o que compromete sua credibilidade (desde setembro de 2010).
Por favor, melhore este artigo providenciando fontes fiáveis e independentes, inserindo-as no corpo do texto por meio de notas de rodapé. Encontre fontes: Googlenotícias, livros, acadêmicoScirusBing. Veja como referenciar e citar as fontes.

Virus.Win32.Sality.aa, também conhecido como W32/Sality (McAfee), W32.Sality.AE (Symantec), Virus:Win32/Sality.AM (Windows Live OneCare), PE_SALITY.EM (Trend Micro), é um vírus de computador que foi criado no ano de 2007 e que tem o autor desconhecido. Quando infecta a máquina com os sistemas operacionais Windows 95, Windows 98, Windows 98 SE, Windows NT, Windows ME, Windows 2000, Windows XP e Windows 2003 apaga arquivos de programas instalados no computador pelo usuário e de programas que já vem instalados no Windows, como o Wordpad, Notepad, Paint e até o gpedit.msc.

O vírus quando presente no disco rígido, impede que o usuário inicie o computador em modo seguro, abra programas antivírus e até mesmo acesse páginas da Internet de empresas fabricantes desses programas.

O vírus só pode ser apagado com ferramentas para verificação e remoção de vírus como, por exemplo, o Kaspersky Vírus Removal Tool.

Depois de removido o vírus ainda deixa rastros como programas que não funcionam por falta de determinado arquivo. Outros sintomas desse vírus são: congelamento do computador, lentidão para abrir aplicativos e lentidão na navegação.


Formas de Contaminação[editar | editar código-fonte]

O vírus contamina o PC através de um programa executável (.EXE, .PIF), após isto ele tenta baixar um driver para pasta \windows\system32\drivers\nomevariavel.sys, na proxima reinicialização do PC, o driver entra em atividade e bloqueia os principais antivírus do mercado.

Após contaminar o Executável, ele modifica uma seção (PE Section) e toma posse dos primeiros 40 bytes aproximadamente, o código é variável, já que o Sality é um MalWare Polimórfico (tem formato mutante). Ele transfere o código original para o final do programa contaminado e o criptografa para dificultar a restauração do arquivo, a criptografia utilizada é o RC4 da RSA, além disto o código inicial é também bagunçado para dificultar o entendimento.

Imagem-contaminacao-sality.jpg

Ligações externas[editar | editar código-fonte]