#1 07.05.07 09:42
Win32/Sality.NAM
Сабж прокрался, NOD его не лечит, карантинит только, заражает .exe. В папках system/syswow32/syswow64 (зависит от установленной винды) создает .dll/.dl_ (wmdrtc32), лечится на ура DrWeb Cure IT.
Более подробно сдесь http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-011223-3919-99&tabid=2
Discovered: January 12, 2007
Updated: March 27, 2007 3:54:05 PM
Type: Virus
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Vista, Windows XP
When the virus is executed, it drops the following files:
%System%\wmdrtc32.dll (A copy of W32.HLLP.Sality.)
%System%\wmdrtc32.dl_ (An archived copy of W32.HLLP.Sality.)
The threat also drops the following file, which is a copy of Hacktool.Rootkit:
%System%\drivers\[RANDOM].sys
The virus then appends the following lines to the file %Windir%\System.ini:
[MCIDRV_VER]
DEVICEN1=[RANDOM_NUMBER]
The threat then injects this .dll file into all running processes.
The virus resides in memory and infects all portable executable files it finds.
Cure It от 6.05.07 у меня на ftp
Исправлено kudryaviy (07.05.07 09:50)
Offline
#2 07.05.07 19:33
Re: Win32/Sality.NAM
Ты забыл еще добавить, что он удаляет раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
после этого винда не грузиться в безопасный режим.
А на счет того что он лечиться на ура, я бы не сказал. Вот если поковыряться в политиках NTFS файла %System%\wmdrtc32.dll, то тогда лечиться на ура :)
Offline
#3 07.05.07 23:14
Re: Win32/Sality.NAM
ke02EwW,
Удаляет? В смысле, вообще грохает? У меня нет, на месте раздел. Правда х.з. может внутри чего нет...
Во всяком случае, удалилась без проблемм длл-ка эта, экзешники вылечились, и больше не появлялось такого...а вообще фаер хочу, Outpost, жду когда под Vista-у выпусят...
Offline
