| Nombre común: Sality.AG
Nombre técnico: W32/Sality.AG
Peligrosidad: Media
Tipo: Virus
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 18/07/2008
Detección actualizada: 04/08/2008
Estadísticas No
Descripción Breve
Sality.AG es un gusano que infecta archivos con extensión EXE y SCR.
Reduce notablemente el nivel de Seguridad del equipo ya que elimina gran cantidad de procesos relacionados con antivirus. Esto convierte al equipo en vulnerable frente al ataque de otro malware.
Adicionalmente. se conecta a multitud de páginas Web para descargarse más malware y utiliza técnicas de rootkit parae vitar que el equipo acceda a Web de programas antivirus.
Efectos
Sality.AG realiza las siguientes acciones:
Infecta archivos con extensión EXE y SCR.
Intent descargar código malicioso de las siguientes páginas Web:
http://www.kjwre9eluoi.info
http://www.kukutet777.info
http://www.kjwre7ieuoi.info
Los archivos descargados son almacenados en un directorios temporal con el nombre M_%random%.EXE y después son ejecutados.
Donde %random% son caracteres aleatorios.
Busca archivos con nombre _RAR en el directorio temporal y los borra.
Evita que el equipo pueda ser arrancado en Modo Seguro.
Puede ser arrancado remotamente y recibir órdenes de su creador.
Reduce considerablemente el nivel de seguridad del equipo infectado,ya que termina los siguientes procesos:
- programas cuyas ventanas de tÃtulo contengan las siguientes cadenas de texto:
dr.web
cureit
- servicios con los siguientes nombres:
_
_AVPM.
A
Agnitum Client Security Service, ALG, aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web Scanner, AVP.
B
BackWeb Plug-in - 4476822, bdss, BGLiveSvc, BlackICE.
C
CAISafe, ccEvtMgr, ccProxy, ccSetMgr.
E
Eset Service.
F
F-Prot Antivirus Update Monitor, fsbwsys, FSDFWD, fshttps, FSMA, F-Secure.
G
Gatekeeper Handler Starter.
I
InoRPC, InoRT, InoTask, ISSVC.
K
KPF4.
L
LavasoftFirewall, LIVESRV.
M
McAfeeFramework, McShield, McTaskManager.
N
navapsvc, NOD32krn, NPFMntor, NSCService.
O
Outpost Firewall main module, OutpostFirewall.
P
PAVFIRES, PAVFNSVR, PavProt, PavPrSrv, PAVSRV, PcCtlCom, PersonalFirewal, PREVSRV, ProtoPort Firewall service, PSIMSVC.
R
RapApp.
S
SmcService, SNDSrvc, SPBBCSvc, Symantec Core LC.
T
Tmntsrv, TmPfw, tmproxy.
U
UmxAgent, UmxCfg, UmxLU, UmxPol.
V
vsmon, VSSERV.
W
WebrootDesktopFirewallData, WebrootFirewall.
X
XCOMM.
- procesos con cualquiera de las siguientes cadenas de texto:
_
_AVPM.
A
A2GUARD, AAVSHIELD, AVAST, ADVCHK, AHNSD, AIRDEFENSE, ALERTSVC, ALMON, ALOGSERV, ALSVC, AMON, ANTI-TROJAN, AVZ, ANTIVIR, ANTS, APVXDWIN, ARMOR2NET, ASHAVAST, ASHDISP, ASHENHCD, ASHMAISV, ASHPOPWZ, ASHSERV, ASHSIMPL, ASHSKPCK, ASHWEBSV, ASWUPDSV, ATCON, ATUPDATER, ATWATCH, AUPDATE, AUTODOWN, AUTOTRACE, AUTOUPDATE, AVCIMAN, AVCONSOL, AVENGINE, AVGAMSVR, AVGCC, AVGCC32, AVGCTRL, AVGEMC, AVGFWSRV, AVGNT, AVGNTDD, AVGNTMGR, AVGSERV, AVGUARD, AVGUPSVC, AVINITNT, AVKSERV, AVKSERVICE, AVKWCTL, AVP, AVP32, AVPCC, AVPM, AVAST, AVSCHED32, AVSYNMGR, AVWUPD32, AVWUPSRV, AVXMONITOR9X, AVXMONITORNT, AVXQUAR.
B
BACKWEB-4476822, BDMCON, BDNEWS, BDOESRV, BDSS, BDSUBMIT, BDSWITCH, BLACKD, BLACKICE.
C
CAFIX, CCAPP, CCEVTMGR, CCPROXY, CCSETMGR, CFIAUDIT, CLAMTRAY, CLAMWIN, CLAW95, CLAW95CF, CLEANER, CLEANER3, CLISVC, CMGRDIAN, CUREIT.
D
DEFWATCH, DOORS, DRVIRUS, DRWADINS, DRWEB32W, DRWEBSCD, DRWEBUPW.
E
ESCANH95, ESCANHNT, EWIDOCTRL, EZANTIVIRUSREGISTRATIONCHECK.
F
F-AGNT95, FAMEH32, FAST, FCH32, FILEMON, FIRESVC, FIRETRAY, FIREWALL, FPAVUPDM, F-PROT95, FRESHCLAM, EKRN, FSAV32, FSAVGUI, FSBWSYS, F-SCHED, FSDFWD, FSGK32, FSGK32ST, FSGUIEXE, EGUI, FSMA32, FSMB32, FSPEX, FSSM32, F-STOPW.
G
GCASDTSERV, GCASSERV, GIANTANTISPYWAREMAIN, GIANTANTISPYWAREUPDATER, GUARDGUI, GUARDNT.
H
HREGMON, HRRES, HSOCKPE, HUPDATE.
I
IAMAPP, IAMSERV, ICLOAD95, ICLOADNT, ICMON, ICSSUPPNT, ICSUPP95, ICSUPPNT, IFACE, INETUPD, INOCIT, INORPC, INORT, INOTASK, INOUPTNG, IOMON98, ISAFE, ISATRAY, ISRV95, ISSVC.
K
KAV, KAVMM, KAVPF, KAVPFW, KAVSTART, KAVSVC, KAVSVCUI, KMAILMON, KPFWSVC, KWATCH.
L
LOCKDOWN2000, LOGWATNT, LUALL, LUCOMSERVER, LUUPDATE.
M
MCAGENT, MCMNHDLR, MCREGWIZ, MCUPDATE, MCVSSHLD, MINILOG, MYAGTSVC, MYAGTTRY.
N
NAVAPSVC, NAVAPW32, NAVLU32, NAVW32, NOD32, NEOWATCHLOG, NEOWATCHTRAY, NISSERV, NISUM, NMAIN, NOD32, NORMIST, NOTSTART, NPAVTRAY, NPFMNTOR, NPFMSG, NPROTECT, NSCHED32, NSMDTR, NSSSERV, NSSTRAY, NTRTSCAN, NTXCONFIG, NUPGRADE, NVC95, NVCOD, NVCTE, NVCUT, NWSERVICE.
O
OFCPFWSVC, OUTPOST.
P
PAV, PAVFIRES, PAVFNSVR, PAVKRE, PAVPROT, PAVPROXY, PAVPRSRV, PAVSRV51, PAVSS, PCCGUIDE, PCCIOMON, PCCNTMON, PCCPFW, PCCTLCOM, PCTAV, PERSFW, PERTSK, PERVAC, PNMSRV, POP3TRAP, POPROXY, PREVSRV, PSIMSVC.
Q
QHM32, QHONLINE, QHONSVC, QHPF, QHWSCSVC.
R
RAVMON, RAVTIMER, REALMON, REALMON95, RFWMAIN, RTVSCAN, RTVSCN95, RULAUNCH.
S
SAVADMINSERVICE, SAVMAIN, SAVPROGRESS, SAVSCAN, SCAN32, SCANNINGPROCESS, CUREIT, SDHELP, SHSTAT, SITECLI, SPBBCSVC, SPHINX, SPIDERML, SPIDERNT, SPIDERUI, SPYBOTSD, SPYXX, SS3EDIT, STOPSIGNAV, SWAGENT, SWDOCTOR, SWNETSUP, SYMLCSVC, SYMPROXYSVC, SYMSPORT, SYMWSC, SYNMGR.
T
TAUMON, TBMON, AVAST, TDS-3, TEATIMER, TFAK, THAV, THSM, TMAS, TMLISTEN, TMNTSRV, TMPFW, TMPROXY, TNBUTIL, TRJSCAN.
U
UP2DATE.
V
VBA32ECM, VBA32IFS, VBA32LDR, VBA32PP3, VBSNTW, VCHK, VCRMON, VETTRAY, VIRUSKEEPER, VPTRAY, VRFWSVC, VRMONNT, VRMONSVC, VRRW32, VSECOMR, VSHWIN32, VSMON, VSSERV, VSSTAT.
W
WATCHDOG, WEBPROXY, WEBSCANX, WEBTRAP, WGFE95, WINAW32, WINROUTE, WINSS, WINSSNOTIFY, WRADMIN, WRCTRL.
X
XCOMMSVR.
Z
ZATUTOR, ZAUINST, ZLCLIENT, ZONEALARM.
Todos estos tres grupos de programas, servicios y procesos están relacionados con programas antivirus. De este modo no funcionarán correctamente ni mantendrán el equipo a salvo.
Utiliza rootkit detectado como Rootkit/Sality.AG para evitar que el equipo infectado pueda entrar en Web de programas antivirus y seguridad informática.
Cuando encuentra alguna de las siguientes cadenas de texto en la barra de direcciones del navegador, evita que se puedan visitar estas páginas:
agnmitum
bitdefender
cureit
drweb
eset.com
etrust.com
ewido
f-secure
kaspersky
mcafee
onlinescan
pandasoftware
sophos
spywareguide
spywareinfo
symantec
trendmicro
virusscan
virustotal
windowsecurity
Este es otro medio para reducir la seguridad del equipo
Metodo de Infección
Sality.AG infecta los archivos con extensión EXE y SCR que encuentra en el equipo.
Adicionalmente, elimina los archivos con la siguiente extensión:
AVC
VDB
KEY
Estas extensiones pertenecen a programas antivirus.
Sality.AG crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
Crea esta entrada para añadirsea sà mismo a la lista de aplicaciones autorizadas por el firewall.
HKEY_CURRENT_USER\Software\914
Crea esta entrada como una marca de infección.
Sality.AG modifica las siguientes entradas en el Registro de Windows:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 1
It la cambia por:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 2
Oculta los archivos y carpetas ocultas.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 1
It changes this entry to:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
GlobalUserOffline = 2
No muestra el mensaje que pregunta al usuario si quiere seguir trabajando con Internet Explorer fuera de linea.
Sality.AG elimina las siguientes entradas y sus valores del Registro de Windows:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
Eliminando esta entrada y su valor, evita que el equipo infectado pueda ser arrancado en Modo Seguro.
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Método de Propagación
Sality.AG no se propaga por sus propios medios, pero infecta archivos con extensión EXE y SCR.
Se extiende a ordenadores cuando los archivos previamente infectados son distribuidos, entrando en el nuevo sistema a través de los medios habituales: unidades de almacenamiento externas, mensajes de correo con archivos adjuntos, descargas de Internet, archivos enviados a través de FTP, redes P2P, etc.
Otros Detalles
Sality.AG está escrito en el lenguaje Ensamblador. Este gusano tiene un tamaño de 34828 Bytes.
|
|
