Sality adalah virus yang memiliki kemampuan backdooring dan melaksanakan Keylogging dan dapat menginfeksi file aplikasi dengan cara meletakkan kode-nya ke host file. Setelah komputer terkena sality,sality akan menginfeksi file aplikasi dan menghapus semua file yang berkaitan dengan anti-virus dan anti-spyware, serta firewall. Setelah itu, Sality menjalankan modul keylogging yang...... mengumpulkan semua data sistem dan informasi jaringan, serta mencatat nama login dan password, mencuri semua informasi sensitif dan mengirimkan semua data yang dikumpulkan ini ke alamat email standar pembuat virus . Selain itu, Sality membuka backdoor yang memungkinkan penyerang untuk mendapatkan kontrol penuh atas komputer yang terinfeksi secara remote.
Gejala infeksi Sality adalah Menonaktifkan perangkat lunak antivirus dan mencegah akses ke situs antivirus tertentu dan keamanan. Sality juga dapat mencegah boot ke Safe Mode dan dapat menghapus file yang berhubungan dengan keamanan yang ditemukan pada sistem yang terinfeksi. Untuk menyebar melalui komponen autorun, Sality umumnya menjatuhkan cmd,.. PIF, dan. Exe ke akar drive terdeteksi, bersama dengan file autorun.inf yang berisi instruksi untuk memuat file berkurang bila drive diakses.
Metode Infeksi
Ketika file yang terinfeksi dijalankan virus itu sendiri dan tetes dekripsi file DLL ke direktori% System%. File DLL ini disuntikkan ke dalam proses yang berjalan lain. Virus ini kemudian mengeksekusi kode program host.
Beberapa contoh nama-nama yang digunakan oleh Sality DLL file seperti yang dilaporkan ke CA dari alam adalah sebagai berikut:
% System% \ syslib32.dll
% System% \ oledsp32.dll
% System% \ olemdb32.dll
% System% \ wcimgr32.dll
% System% \ wmimgr32.dll
Catatan: '%% System' adalah lokasi variabel. malware menentukan lokasi folder Sistem saat ini dengan query sistem operasi. Instalasi default lokasi untuk direktori System untuk Windows 2000 dan NT adalah C: \ Winnt \ System32; untuk 95,98 dan ME adalah C: \ Windows \ System; dan untuk XP adalah C: \ Windows \ System32.
Banyak varian Sality juga berusaha untuk menginfeksi file executable direferensikan oleh nilai-nilai pada kunci registri berikut:
HKLM \ Software \ \ Microsoft \ Windows \ CurrentVersion \ Run
HKCU \ Software \ \ Microsoft \ Windows \ CurrentVersion \ Run
Hal ini memungkinkan virus untuk berjalan pada setiap awal Windows.
Metode Distribusi
Sality pencarian drive lokal C: \ ke Y: \ untuk file Windows menginfeksi executable. Beberapa varian tidak menginfeksi file dengan ukuran file di bawah ini 4K byte atau di atas 20M byte. Virus ini menggantikan kode pada titik masuknya dieksekusi dengan kode sendiri, dan menambahkan salinan dienkripsi dengan sendirinya ke file host, sehingga meningkatkan ukuran program yang terinfeksi. Saat file virus dijalankan ekstrak dan menjalankan kode ditambahkan, dan kemudian menjalankan kode program host untuk menyembunyikan kehadirannya.
Penanganan Sality
Untuk membersihkan Sality / memperbaiki system akibat sality ada beberapa Alternative :
- Restore
Pengertian dan fungsi system restore sudah banyak yang tau. Mengembalikan system ke dalam keadaan tertentu sesuai dengan waktu yang kita inginkan dan bisa di gunakan. Jadi jika terinfeksi sality tanggal 10, dan kita bisa mengembalikan ke tanggal 6 sebelum kita terinfeksi sality.
- DeepFreeze
Beberapa user memilih untuk benar-benar menjaga systemnya dengan cara yang sedikit merepotkan menggunakan DeepFreeze. Dalam Deepfreeze, kita bisa menentukan Drive yang mana yang akan kita DeepFreeze, biasanya drive C:\, tapi drive yang lain masih ada kemungkinan terkena sality, dan sangat BERPOTENSI menyebarkan ke komputer yang lain. Dapat di katakan seperti orang yang sakit tapi beberapa bagian tubuhnya sudah rusak dan dapat membuat orang lain menjadi Zombie.
- Install Ulang / Format Windows.
Tidak ada komentar:
Posting Komentar