Sality Virus

Sality je malware, ktorý napadá počítače s os Windows, a šíri sa prostredníctvom EXE a SCR súborov.  Vírus sality sa pôvodne objavil v Rusku, a priebehu rokov sa rozvinul. Dnes má rôzne varianty a odlišné vlastnosti aj funkcie. Avšak väčšina jeho podôb sú worms (červy) , ktoré používajú nejakú formu autorun funkcií na infikovanie spustiteľných súborov prostredníctvom vymeniteľných diskov. 

Niektoré Sality boty  (roboty) , spájajú infikované počítače s vlastnou P2P sieťou, čím pomáhajú vytvárať cesku ku krádeži či už súkromných údajov, alebo hesiel a pod.  Virus Sality sa môže „tváriť“ ako program  odstraňovanie trojských koní, a nainštaluje ďalší malware, alebo keylogger, ktorý monitoruje a zaznamenáva stlačenie klávesov.

Niektoré antivírusové programy označujú vírusy Sality názvami ako:  SaILoad, SaliCode, Kookoo a Kukačka.

Ako to funguje vírus Sality? 

Škodlivý softvér Sality infikuje spustiteľné súbory v počítači. Väčšina verzií škodlivého softvéru sa uloží do priečinka % SYSTEM%  špeciálny súbor DLL a jeho názov bude pravdepodobne „wmdrtc32.dll“ alebo, komprimovaná verzia „wmdrtc32.dl_“.

Avšak, nie všetky varianty vírusu Sality použijú  DLL súbor týmto spôsobom. Niektoré sa načítavajú priamo do pamäte a súbor DLL nenájde nikde na disku.  Niekedy uloží ovládač čo priečinka  % SYSTEM% \ drivers.

Problém spočíva v tom, že sa vísus môže uložiť pod náhodným názvom. Antivírový program číta názov súboru, ale nekontroluje jeho obsah, a preto nemusí vírus Sality zachytiť.  Po infikovaní si vírus vyžiada aktualizáciu, ktorá prebehne na pozadí, bez vedomia používateľa a stiahne tak ďalšie infikované súbory. 

Ako spoznáte, že ste infikovaný vírusom Sality? 

Ako mnohé iné infekcie, aj v prípade Sality postrehnete, že vás operačný systém nefunguje úplne správne. Niektoré najbežnejšie prejavy vírusu Sality:

• Zakáže antivírusový program a zabráni  prístupu na určité antivírusové a bezpečnostné web  stránky.
• Zabráni spusteniu núdzového režimu.
• Odstráni súbory, procesy, alebo služby súvisiace s bezpečnosťou.
• Uloží súbor CMD, PIF, lebo EXE do koreňových priečinkov spolu so súborom autorun.inf, ktorý obsahuje pokyny pre odstránených súborov na disku. 
• Začne odoslať spam vaším emailovým  kontaktom, pomocou prístupu k poštovému klientovi. 
• Odstráni  súbory, ktoré obsahujú konkrétne prípony.

Ako odstrániť vírus Sality? 

Najlepší spôsob, ako zabrániť napadnutiu vírusom Sality, je udržiavať váš počítač v aktualizovaný s najnovšími opravami a bezpečnostnými záplatami. Používajte  Windows Update a aktualizujte váš antivírusový program, ktorý pomôže zabrániť týmto útokom. 

Ak už viete, že máte vírus Sality, môžete sa ho zbaviť podobným spôsobom. Skenujte počítač na škodlivý softvér pomocou aktualizovaného a schopného antivírusového programu. Prípadne si pomôžte nejakým  spyware remover (napríklad superantispyware.com), pretože vírus Sality sa často krát správa ako spyware. 

Zopár spoločnosti na vývoj antivírusového programu, majú v ponuke špeciálny nástroj pre odstránenie toho vírusu. (Napríklad AVG,  ale aj Kaspersky – SaliKiller) 

Niektoré antivírusové programy nemusia detektovať Sality. Ak máte podozrenie, že máte vírus, ale váš  softvér ho nehlási, skúste podozrivé súbory online nahrať  do programu VirusTotal a vykonajte online scan. 

Ďalšia možnosť je ručné vyhľadanie a  odstránenie súborov vírusu. Je však pravdepodobné, že veľká časť súborov bude skrytá, alebo zamknutá a nebudete ich môcť iba tak odstrániť.

Čo  ďalej?

Ak ste si istí, že ste odstránili vírus, mali by ste zvážiť vypnutie „autorun“, aby ste zabránili opätovnej infekcii prostredníctvom USB. Mali by ste si tiež zmeniť heslá. Ak vírus zaznamenával stlačenia klávesov, môžu byť vaše online účty napadnuté. Udržiavajte svoj antivírusový program a operačný systém aktualizovaný a pravidelne vykonávajte kontrolu. 

Alena Mižiková

Špecialista digitálnej komunikácie at ZSSK – Slovak Passenger Railways