Korzystacie z darmowego antywirusa Rising Antivirus chińskiego pochodzenia? Jeśli tak, to natychmiast odinstalujcie ten program i zaprzestańcie użytkowania podobnych “wynalazków”. W bazie danych sygnatur znajdował się wirus Sality. Antywirus aktualizując lokalne sygnatury pobierał nie tylko informacje o najnowszych wirusach, ale także polimorficznego szkodnika Sality, który był uruchamiany z takimi samymi uprawnieniami co proces odpowiedzialny za aktualizację.
Sality (Win32/Sality) to paskudne szkodliwe oprogramowanie, które potrafi:
- tworzyć swoje kopie na wszystkich podłączonych i zmapowanych dyskach,
- infekować pliki wykonywalne (exe, pif, scr — oraz inne rozszerzenia uwarunkowane konkretnym wariantem Sality) dodając do nich złośliwy kod — od kilkunastu do 90 dodatkowych kilobajtów. Uruchomienie jakiegokolwiek programu zainicjuje procedurę infekcji,
- uruchomić się wraz z systemem operacyjnym,
- skanować drzewa katalogów pozostawiając swoje droppery w lokalizacjach “c:/”, “d:/”, itp.
- pobierać z sieci dodatkowe malware, które potrafi wyłączyć kontrolę UAC oraz usługi odpowiedzialne za działanie większości programów antywirusowych,
- niektóre warianty Sality posiadają funkcje szpiegowskie,
- zebrane informacje są wysyłane do serwera C&C kontrolowanego przez przestępców.
Niektórzy eksperci przypisują rosyjskie pochodzenie wirusowi Sality. Szkodnik potrafi komunikować się z serwerem kontrolno-zarządzającym za pośrednictwem sieci P2P, rozsyłać spam z adresu IP użytkownika, wykradać poufne dane, czy chociażby wykorzystywać moc obliczeniową zainfekowanego komputera do ataków słownikowych. Niektóre warianty Sality posiadają funkcje rootkita — przeciwdziałają wykryciu przez oprogramowanie antywirusowe oraz umożliwiają zdalną instalację dodatkowych szkodliwych narzędzi.
Sality w bazie danych wirusów Rising Antivirus
Szkodliwe oprogramowanie zostało wykryte przez niemieckie laboratorium AV-Test. Był to całkowity przypadek — systemy pozwalające automatyzować żmudny proces testów antywirusów wykryły dziwne zachowanie na maszynie z zainstalowanym Rising Antivirus. Eksperci z AV-Test po dokładnej analizie incydentu zauważyli, że proces conscan.exe nie tylko aktualizował sygnatury, ale też infekował testowy system.
Mam antywirusa Rising Antivirus, co zrobić?
Odłączyć komputer od sieci i natychmiast odinstalować Rising Antivirus. Zalecamy też, aby z innej maszyny pobrać MBAM, Sophos Clean (wcześniej znany jako HitmanPro) i dokładnie przeskanować system operacyjny. Nie zaszkodzi też przyjrzeć się komunikacji sieciowej — warto wykorzystać do tego celu programy TCPView lub Filddler, Network Monitor firmy Microsoft, ESET SysInspector oraz PAINT opracowany przez Digital Operatives.
Jeżeli na skutek działania wirusa Sality operacja uruchomienia instalatora antywirusa nie będzie możliwa, należy skorzystać z trybu ratunkowego lub przeskanować system operacyjny za pomocą płyty ratunkowej: Bitdefender Rescue CD lub Kaspersky Rescue Disk. W najgorszych przypadkach nie obejdzie się bez całkowitego formatowania wszystkich partycji.
Na przyszłość odradzamy wykorzystywania do ochrony własnych danych i bankowości elektronicznej nietypowych antywirusów. W zamian rekomendujemy instalację bezpłatnego / komercyjnego i renomowanego oprogramowania antywirusowego. Nasze testy i polecane programy znajdziecie pod tym adresem: https://avlab.pl/recommended
