SalityKiller:是 感染型病毒 Sality的专杀工具,C.D.E.F.每个盘符下面都会生产出这样的exe或文件.使用本工具可以彻底删除木马病毒。
症状:
我用金山毒霸.QQ电脑管家.360急救箱等都无法彻底清除该病毒.
重启后已经存在.删除后然然会再次生成在每个盘符.
什么是Sality病毒?
它有哪些危害?
Sality病毒是一种多态的感染型病毒。病毒运行后,会终止安全相关软件和服务,感染系统内的exe和scr文件。并且注入病毒线程到所有进程中,在后台下载病毒到系统。同时它创建自身拷贝到可移动设备或者网络共享中,以达到传播的目的。此外,部分病毒变种还会收集被感染系统信息,并发送的到指定的网址。
Sality病毒是如何破坏系统的?感染以后有什么表现?
1. 修改注册表来设置隐藏文件不可见
2. 通过设置“EnableLUA”禁用UAC,关闭windows自动更新
3. 病毒会删除以下注册表中”安全模式“相关的项,使系统无法进入安全模式
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
4. 禁用Windows安全程序和防火墙
创建注册表键值来禁用Windows Security和防火墙。
5. 禁用任务管理器和注册表编辑器
和其他的病毒相似, Sality也会禁用任务管理器和注册表编辑器。当用户打算打开以上应用程序,将会出现以下错误信息:
6. 病毒将被自己感染的程序添加到防火墙白名单,防止自己的网络通信被阻止
7. 在%WinDir%\system.ini中添加配置信息
8. 释放驱动 “<随机文件名>.sys”到%System%\drivers,并加载启动
9. 共享文件夹及其子文件夹下存在未知的LNK和TMP文件
新的SALITY变种会利用最新的Windows快捷方式漏洞。
另外一种可能感染此病毒的特征为在网络共享中存在恶意的LNK和TMP文件。
10. 存在恶意的AUTORUN.INF
病毒将创建一个病毒母体文件的拷贝和自动执行该母体文件的AUTORUN.INF至所有驱动器.当你进入被感染驱动器后,就会自动执行病毒。
这个恶意的AUTORUN.INF包含以下内容:
11. 删除临时文件中所有的“.exe”和“.rar”文件。
12. 后台下载病毒,将下载到的文件保存到%temp%\win%s.exe,并执行。
13. 关闭并删除指定的服务。
14. 检测并关闭指定的进程。
15. 搜索并删除所有特殊后缀的文件。例如:.drw、.VDB、.AVC
16. 遍历系统内所有文件,针对大小在1000B ~ 1400000B之间的exe文件进行感染。