Sality est une famille de logiciels malveillants infectant les fichiers qui affecte les ordinateurs Windows en propageant les infections via des fichiers EXE et SCR.
La salité, qui a peut-être commencé en Russie à l’origine, a beaucoup évolué au fil des ans, de sorte que différentes variantes du logiciel malveillant présentent des caractéristiques différentes. Cependant, la plupart des variantes de Sality sont des vers en ce sens qu’elles utilisent une certaine forme de fonctionnalité d’exécution automatique pour infecter des fichiers exécutables via des lecteurs amovibles ou découvrables.
Certains sont même des botnet de Sality qui joignent des machines infectées à leur propre réseau P2P afin que les ordinateurs dans leur ensemble facilitent des tâches telles que le vol de données privées, la suppression de mots de passe, l'envoi de spam, etc.
Le virus Sality peut également inclure un téléchargeur de chevaux de Troie qui installe d’autres logiciels malveillants via Internet et un enregistreur de frappe qui surveille et enregistre les frappes.
Remarque: Certains programmes antivirus font référence aux virus Sality sous d'autres noms tels que SaILoad, SaliCode, Kookoo et Kukacka.
Comment ça marche
Comme mentionné ci-dessus, le programme malveillant Sality infecte les fichiers exécutables sur l'ordinateur infecté.
La plupart des versions du malware ont mis un fichier DLL spécial sur l’ordinateur dans le %SYSTÈME% dossier et peut l’appeler "wmdrtc32.dll" ou, pour la version compressée, "wmdrtc32.dl_."
Cependant, toutes les variantes du virus Sality n'utiliseront pas un fichier DLL de cette manière. Certains chargent le code directement dans la mémoire et le fichier DLL ne se trouve nulle part dans les fichiers du disque.
D'autres pourraient même stocker un pilote de périphérique dans le répertoire. % SYSTEM% drivers dossier. Ce qui le rend difficile, c'est qu'il puisse être stocké avec un nom de fichier aléatoire. Par conséquent, si votre logiciel antivirus ne lit que les noms de fichiers pour rechercher les virus, et non le contenu du fichier, il y a de fortes chances qu'il ne s'attrape pas le virus Sality. .
Les mises à jour du malware Sality sont transmises via HTTP via des listes décentralisées d’URL. Une fois infecté, le logiciel malveillant n'a plus besoin que de demander des mises à jour en arrière-plan pour se transformer et grandir lui-même, pour télécharger de nouveaux fichiers et infecter d'autres ordinateurs.
Signes d'infection
Il est important de connaître les symptômes d'une infection par le virus Sality - ce que votre ordinateur pourrait faire ou comment il pourrait fonctionner en présence du virus Sality.
Comme avec beaucoup d'autres logiciels malveillants, Sality peut effectuer les opérations suivantes:
- Désactivez le logiciel antivirus et empêchez l'accès à certains sites Web antivirus et de sécurité.
- Empêcher le démarrage en mode sans échec.
- Supprimez les fichiers, processus et / ou services liés à la sécurité.
- Stockez un fichier CMD, PIF et / ou EXE à la racine des lecteurs découvrables, avec un fichier autorun.inf contenant des instructions pour charger les fichiers déposés lors de l'accès au lecteur.
- Envoyez du spam à vos contacts de messagerie en accédant au carnet d'adresses de votre client de messagerie.
- Supprimez les fichiers contenant une certaine extension.
Comment supprimer
Le meilleur moyen de prévenir une infection par le virus Sality est de maintenir votre ordinateur à jour avec les derniers correctifs et définitions de sécurité. Utilisez Windows Update et maintenez votre logiciel antivirus à jour pour vous aider à contrecarrer cette attaque.
Si vous savez déjà que vous êtes porteur du virus Sality, vous pouvez vous en débarrasser de la même manière. Analysez votre ordinateur contre les logiciels malveillants à l'aide d'un logiciel antivirus à jour et performant. Vous pourriez avoir de la chance en utilisant un dissolvant de spyware pour attraper le virus Sality puisqu'il fonctionne aussi comme un spyware. Si ceux-ci ne fonctionnent pas ou si vous ne disposez pas d'un accès régulier à Windows, utilisez plutôt un programme antivirus démarrable.
Certains éditeurs de logiciels antivirus incluent un outil spécial destiné spécifiquement au traitement du virus Sality. Par exemple, AVG propose un programme antivirus gratuit populaire, mais inclut également Sality Fix que vous pouvez télécharger gratuitement pour éliminer le virus Sality automatiquement. Kaspersky vous permet d'utiliser l'outil gratuit SalityKiller.
Si un fichier est infecté par Sality, autorisez le logiciel à le nettoyer. Si un autre logiciel malveillant est détecté, essayez de supprimer le virus ou prenez l’action recommandée par le scanner.
Certains programmes antivirus peuvent ne pas détecter le virus Sality. Si vous pensez être infecté par le virus mais que votre logiciel de sécurité ne le détecte pas, essayez de le télécharger sur VirusTotal pour effectuer une analyse en ligne à l'aide de divers moteurs d'analyse.
Une autre option consiste à supprimer manuellement les fichiers de virus en effectuant une recherche sur l'ordinateur à l'aide d'un outil de recherche de fichiers tel que Tout. Cependant, il y a de bonnes chances que les fichiers ne puissent être utilisés et ne puissent pas être supprimés de manière normale. Les programmes antivirus peuvent généralement éviter cela en programmant la suppression du logiciel malveillant lorsque l'ordinateur est éteint.
Que faire ensuite
Si vous êtes certain que le virus Sality a été supprimé, vous devez envisager de désactiver l'exécution automatique pour empêcher une réinfection via des clés USB.
Il est également important de changer les mots de passe pour tous les comptes en ligne que vous avez utilisés pendant la période de l’infection. Si le virus Sality enregistrait vos frappes au clavier, il y avait de bonnes chances qu'il enregistre vos informations bancaires, vos identifiants de médias sociaux, votre mot de passe de messagerie, etc. Changer ces mots de passe ( après l'infection est parti ) et la vérification de vos comptes pour le vol est une étape importante.
Installez un programme antivirus facile à utiliser, toujours à jour et toujours mis à jour, de manière à éviter que cela ne se reproduise. Assurez-vous qu'il peut rechercher les logiciels malveillants sur les lecteurs amovibles et configurer des analyses planifiées pour rechercher périodiquement les logiciels malveillants de tous types, pas seulement le virus Sality.
