Chiński Rising Antivirus rozprzestrzenia w swoich sygnaturach wirusa Sality

18 czerwca, 2016

Korzystacie z darmowego antywirusa Rising Antivirus chińskiego pochodzenia? Jeśli tak, to natychmiast odinstalujcie ten program i zaprzestańcie użytkowania podobnych “wynalazków”. W bazie danych sygnatur znajdował się wirus Sality. Antywirus aktualizując lokalne sygnatury pobierał nie tylko informacje o najnowszych wirusach, ale także polimorficznego szkodnika Sality, który był uruchamiany z takimi samymi uprawnieniami co proces odpowiedzialny za aktualizację. 

Sality (Win32/Sality) to paskudne szkodliwe oprogramowanie, które potrafi:

  • tworzyć swoje kopie na wszystkich podłączonych i zmapowanych dyskach,
  • infekować pliki wykonywalne (exe, pif, scr — oraz inne rozszerzenia uwarunkowane konkretnym wariantem Sality) dodając do nich złośliwy kod — od kilkunastu do 90 dodatkowych kilobajtów. Uruchomienie jakiegokolwiek programu zainicjuje procedurę infekcji,
  • uruchomić się wraz z systemem operacyjnym, 
  • skanować drzewa katalogów pozostawiając swoje droppery w lokalizacjach “c:/”, “d:/”, itp. 
  • pobierać z sieci dodatkowe malware, które potrafi wyłączyć kontrolę UAC oraz usługi odpowiedzialne za działanie większości programów antywirusowych,
  • niektóre warianty Sality posiadają funkcje szpiegowskie,
  • zebrane informacje są wysyłane do serwera C&C kontrolowanego przez przestępców.

Niektórzy eksperci przypisują rosyjskie pochodzenie wirusowi Sality. Szkodnik potrafi komunikować się z serwerem kontrolno-zarządzającym za pośrednictwem sieci P2P, rozsyłać spam z adresu IP użytkownika, wykradać poufne dane, czy chociażby wykorzystywać moc obliczeniową zainfekowanego komputera do ataków słownikowych. Niektóre warianty Sality posiadają funkcje rootkita — przeciwdziałają wykryciu przez oprogramowanie antywirusowe oraz umożliwiają zdalną instalację dodatkowych szkodliwych narzędzi.

Sality w bazie danych wirusów Rising Antivirus

Szkodliwe oprogramowanie zostało wykryte przez niemieckie laboratorium AV-Test. Był to całkowity przypadek — systemy pozwalające automatyzować żmudny proces testów antywirusów wykryły dziwne zachowanie na maszynie z zainstalowanym Rising Antivirus. Eksperci z AV-Test po dokładnej analizie incydentu zauważyli, że proces conscan.exe nie tylko aktualizował sygnatury, ale też infekował testowy system.

Mam antywirusa Rising Antivirus, co zrobić?

Odłączyć komputer od sieci i natychmiast odinstalować Rising Antivirus. Zalecamy też, aby z innej maszyny pobrać MBAM, Sophos Clean (wcześniej znany jako HitmanPro) i dokładnie przeskanować system operacyjny. Nie zaszkodzi też przyjrzeć się komunikacji sieciowej — warto wykorzystać do tego celu programy TCPView lub Filddler, Network Monitor firmy Microsoft, ESET SysInspector oraz PAINT opracowany przez Digital Operatives.

Jeżeli na skutek działania wirusa Sality operacja uruchomienia instalatora antywirusa nie będzie możliwa, należy skorzystać z trybu ratunkowego lub przeskanować system operacyjny za pomocą płyty ratunkowej: Bitdefender Rescue CD lub Kaspersky Rescue Disk. W najgorszych przypadkach nie obejdzie się bez całkowitego formatowania wszystkich partycji. 
 
Na przyszłość odradzamy wykorzystywania do ochrony własnych danych i bankowości elektronicznej nietypowych antywirusów. W zamian rekomendujemy instalację bezpłatnego / komercyjnego i renomowanego oprogramowania antywirusowego. Nasze testy i polecane programy znajdziecie pod tym adresem: https://avlab.pl/recommended

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
5 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]