Kali ini saya akan membahas tentang virus-virus yang menyerang operating
system Microsoft
Virus DOS/Dexo
Deteksi Virus
Updated: 23 Mar 2007 | Diterbitkan di: Desember 07, 2006
Alias
Tidak tersedia
Alert Level
Parah
Deteksi awalnya dibuat:
Definisi: 1.45.287.0
Waktu rilis: Oktober 07, 2008
Ringkasan
Ancaman ini terdeteksi oleh mesin antivirus Microsoft. Rincian teknis tidak tersedia untuk ancaman ini.
Virus:Win32/Jadtre.B
Deteksi Virus
Diperbarui: 17 April 2011 | Diterbitkan di: April 18, 2010
Alias
Unknown
Virus DOS/Dexo
Deteksi Virus
Updated: 23 Mar 2007 | Diterbitkan di: Desember 07, 2006
Alias
Tidak tersedia
Alert Level
Parah
Deteksi awalnya dibuat:
Definisi: 1.45.287.0
Waktu rilis: Oktober 07, 2008
Ringkasan
Ancaman ini terdeteksi oleh mesin antivirus Microsoft. Rincian teknis tidak tersedia untuk ancaman ini.
Virus:Win32/Jadtre.B
Deteksi Virus
Diperbarui: 17 April 2011 | Diterbitkan di: April 18, 2010
Alias
Unknown
- Win32/Jadtre.C (AhnLab)
- TR/Drop.Bototer.B.82 (Avira)
- Win32/Emerleox.IN (CA)
- Win32.HLLW.Viking.55 (Dr.Web)
- Trojan-Dropper.Win32.Bototer.b (Kaspersky)
- Downloader-CCW.gen.a (McAfee)
- W32/Katusha.T (Panda)
- W32.Fujacks.CE!inf (Symantec)
Alert Level
Parah
Deteksi diperbaharui:
Definisi: 1.77.644.0
Waktu rilis: 09 Maret 2010
Deteksi awalnya dibuat:
Definisi: 1.77.174.0
Waktu rilis: 01 Maret 2010
Ringkasan
Virus:Win32/Jadtre.B adalah deteksi untuk virus yang menginfeksi Windows file yang dapat dieksekusi, memodifikasi file HTML, menyebar ke komputer melalui jaringan dan melalui removable drive. Virus mencegah Windows untuk mulai di mode aman, mencoba untuk menyambung ke server log kehadirannya, dan mencoba untuk men-download dan mengeksekusi file yang sewenang-wenang.
Gejala
Perubahan sistem
Perubahan sistem berikut dapat menunjukkan keberadaan malware ini:
Kehadiran file-file berikut:
%SystemDrive%\booter.exe
Lansiran atau deteksi malware ini dari perangkat lunak antivirus atau keamanan yang diinstal mungkin-hanya symptom(s) lain.
Informasi teknis (analisis)
Virus:Win32/Jadtre.B adalah deteksi untuk virus yang menginfeksi Windows file yang dapat dieksekusi, memodifikasi file HTML, menyebar ke komputer melalui jaringan dan melalui removable drive. Virus mencegah Windows untuk mulai di mode aman, mencoba untuk menyambung ke server log kehadirannya, dan mencoba untuk men-download dan mengeksekusi file yang sewenang-wenang.
Instalasi
Ketika dijalankan, file Virus:Win32/Jadtre.B terinfeksi turun dan mengeksekusi salinan badan virus sebagai berikut:
%SystemDrive%\booter.exe
Virus menjatuhkan file "booter.exe" mencoba untuk menginstal dirinya sebagai service sistem DLL. Mencari layanan sistem berhenti dari daftar berikut:
Schedule
RemoteRegistry
helpsvc
CryptSvc
Themes
Browser
Tapisrv
Nla
Netman
SSDPSRV
upnphost
Ntmssvc
EventSystem
xmlprov
WmdmPmSN
FastUserSwitchingCompatibility
BITS
AppMgmt
Jika virus tidak berhenti layanan dari daftar di atas, itu mencoba untuk menghentikan salah satu layanan. Virus d isables pemeriksa berkas sistem Windows (SFC) dan menggantikan layanan berhenti dengan salinan dari "booter.exe" sebagai DLL. Virus DLL mungkin karena itu disebut sebagai salah satu dari berikut ini, tergantung pada layanan yang menggantikan:
schedsvc.dll
regsvc.dll
pchsvc.dll
cryptsvc.dll
browser.dll
tapisrv.dll
mswsock.dll
netman.dll
ssdpsrv.dll
upnphost.dll
ntmssvc.dll
es.dll
xmlprov.dll
mspmsnsv.dll
shsvcs.dll
qmgr.dll
appmgmts.dll
Virus:Win32/Jadtre.B set layanan diganti sebagai layanan sistem autostart untuk memastikan virus DLL dimuat pada setiap Windows mulai.
Menyebar melalui...
File infeksi
Virus:Win32/Jadtre.B menginfeksi Windows file yang dapat dieksekusi memiliki ekstensi file dari ".EXE". Virus yang dapat menginfeksi executable dalam.RAR archive container files.
Removable drive
Virus:Win32/Jadtre.B salinan sendiri untuk kandar sebagai berikut:
\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\setup.exe
Virus kemudian menulis file konfigurasi Autorun yang bernama "autorun.inf" menunjuk ke "setup.exe". Ketika pengandar yang diakses dari komputer mendukung fitur Autorun, virus diluncurkan secara otomatis.
Jaringan saham
Virus:Win32/Jadtre.B mencoba untuk menyambung ke jaringan saham dengan menggunakan Kamus built-in mengandung nama pengguna dan password. Setelah berhasil tersambung ke saham, virus tetes salinan badan virus di folder berbagi.
Muatan
Memodifikasi pengaturan sistem
Virus:Win32/Jadtre.B menghapus subkunci registri berikut ini untuk mencegah Windows untuk mulai di mode aman atau mode aman dengan jaringan:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
Menginfeksi file HTML
Virus:Win32/Jadtre.B menginfeksi file HTML yang memiliki ekstensi file berikut:
.htm
.html
.asp
.aspx
Virus menambahkan JavaScript link domain "yy.web1000wip.com".
Downloads dan mengeksekusi file yang sewenang-wenang
Virus:Win32/Jadtre.B menghubungkan ke host jauh untuk men-download dan mengeksekusi file yang sewenang-wenang dalam komputer yang terinfeksi. Dalam wild, Virus:Win32/Jadtre.B telah diamati untuk menghubungi domain berikut untuk tujuan ini:
ad.ns5000wip.com
Analysis by Chun Feng
Pencegahan
Mengambil langkah-langkah berikut untuk membantu mencegah infeksi pada komputer Anda:
Mengaktifkan firewall pada komputer Anda.
Mendapatkan update terbaru komputer untuk semua Anda menginstal perangkat lunak.
Menggunakan up-to-date perangkat lunak antivirus.
Membatasi hak pengguna pada komputer.
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer.
Gunakan hati-hati ketika mengklik pada link ke halaman Web.
Menghindari men-download perangkat lunak bajakan.
Melindungi diri terhadap serangan rekayasa sosial.
Menggunakan sandi yang kuat.
Mengaktifkan firewall pada komputer Anda
Menggunakan produk firewall pihak ketiga atau Hidupkan Firewall Sambungan Internet Windows Microsoft.
Cara mengaktifkan Windows Firewall pada Windows 7
Cara mengaktifkan Windows Firewall pada Windows Vista
Cara mengaktifkan Windows firewall pada Windows XP
Mendapatkan update terbaru komputer
Pembaruan membantu melindungi komputer Anda dari virus, worm, dan ancaman lainnya seperti mereka ditemukan. Sangat penting untuk menginstal pembaruan untuk semua perangkat lunak yang diinstal di komputer Anda. Ini biasanya tersedia dari vendor situs Web.
Anda dapat menggunakan fitur pembaruan otomatis di Windows untuk men-download secara otomatis masa depan Microsoft security update ketika komputer dan terhubung ke Internet.
Cara mengaktifkan pembaruan otomatis di Windows 7
Cara mengaktifkan pembaruan otomatis pada Windows Vista
Cara mengaktifkan pembaruan otomatis pada Windows XP
Menggunakan up-to-date perangkat lunak antivirus
Kebanyakan perangkat lunak antivirus dapat mendeteksi dan mencegah infeksi dengan perangkat lunak berbahaya yang dikenal. Untuk membantu melindungi Anda dari infeksi, Anda harus selalu menjalankan perangkat lunak antivirus, seperti Microsoft Security Essentials, yang diperbarui dengan berkas tanda tangan terbaru. Untuk informasi lebih lanjut, Lihat http://www.microsoft.com/security/antivirus/av.aspx.
Membatasi hak pengguna di komputer
Dimulai dengan Windows Vista dan Windows 7, Microsoft memperkenalkan User Account Control (UAC), yang, ketika diaktifkan, memungkinkan pengguna untuk menjalankan dengan hak pengguna yang paling. Skenario ini membatasi kemungkinan serangan oleh malware dan ancaman lainnya yang membutuhkan hak administratif untuk menjalankan.
Anda dapat mengkonfigurasi UAC di komputer Anda untuk memenuhi preferensi Anda:
User Account Control di Windows 7
User Account Control pada Windows Vista
Menerapkan prinsip hak istimewa setidaknya pada Windows XP
Lebih di kontrol Account pengguna
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer
Berhati-hati dengan e-mail dan lampiran diterima dari sumber-sumber yang tidak diketahui, atau menerima tiba-tiba dari sumber-sumber yang dikenal. Gunakan hati-hati ketika menerima file transfer dari sumber-sumber yang dikenal atau tidak dikenal.
Gunakan hati-hati ketika mengklik pada link ke halaman Web
Berhati-hati dengan link ke halaman Web yang Anda terima dari sumber-sumber yang tidak diketahui, terutama jika link ke halaman Web Anda tidak akrab dengan, yakin tujuan atau curiga. Perangkat lunak berbahaya dapat diinstal di komputer Anda hanya dengan mengunjungi halaman Web dengan konten berbahaya.
Menghindari men-download perangkat lunak bajakan
Ancaman juga dapat dibundel dengan perangkat lunak dan file yang tersedia untuk di-download di berbagai situs torrent. Men-download perangkat lunak "retak" atau "bajakan" dari situs ini membawa tidak hanya risiko terinfeksi dengan malware, tetapi juga ilegal. Untuk informasi lebih lanjut, lihat 'risiko mendapatkan dan menggunakan perangkat lunak bajakan'.
Melindungi diri dari serangan rekayasa sosial
Meskipun penyerang mungkin berusaha untuk mengeksploitasi kerentanan dalam perangkat keras atau perangkat lunak untuk berkompromi komputer, mereka juga berusaha untuk mengeksploitasi kerentanan dalam perilaku manusia untuk melakukan hal yang sama. Ketika seorang penyerang yang mencoba untuk mengambil keuntungan dari perilaku manusia untuk membujuk pengguna yang dipakai untuk melakukan tindakan penyerang dari pilihan, itu dikenal sebagai 'rekayasa sosial'. Pada dasarnya, rekayasa sosial adalah serangan terhadap manusia antarmuka komputer target. Untuk informasi lebih lanjut, lihat 'Apakah rekayasa sosial?'.
Menggunakan sandi yang kuat
Penyerang dapat mencoba untuk mendapatkan akses ke Windows account dengan menebak sandi. Oleh karena itu penting bahwa Anda menggunakan sandi yang kuat-salah satu yang tidak dapat mudah ditebak oleh penyerang. Sandi yang kuat adalah salah satu yang memiliki minimal 8 karakter, menggabungkan huruf, angka, dan simbol. Untuk informasi lebih lanjut, lihat http://www.microsoft.com/protect/yourself/password/create.mspx.
Analysis by Chun Feng
Pencegahan
Mengambil langkah-langkah berikut untuk membantu mencegah infeksi pada komputer Anda:
Mengaktifkan firewall pada komputer Anda.
Mendapatkan update terbaru komputer untuk semua Anda menginstal perangkat lunak.
Menggunakan up-to-date perangkat lunak antivirus.
Membatasi hak pengguna pada komputer.
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer.
Gunakan hati-hati ketika mengklik pada link ke halaman Web.
Menghindari men-download perangkat lunak bajakan.
Melindungi diri terhadap serangan rekayasa sosial.
Menggunakan sandi yang kuat.
Mengaktifkan firewall pada komputer Anda
Menggunakan produk firewall pihak ketiga atau Hidupkan Firewall Sambungan Internet Windows Microsoft.
Cara mengaktifkan Windows Firewall pada Windows 7
Cara mengaktifkan Windows Firewall pada Windows Vista
Cara mengaktifkan Windows firewall pada Windows XP
Mendapatkan update terbaru komputer
Pembaruan membantu melindungi komputer Anda dari virus, worm, dan ancaman lainnya seperti mereka ditemukan. Sangat penting untuk menginstal pembaruan untuk semua perangkat lunak yang diinstal di komputer Anda. Ini biasanya tersedia dari vendor situs Web.
Anda dapat menggunakan fitur pembaruan otomatis di Windows untuk men-download secara otomatis masa depan Microsoft security update ketika komputer dan terhubung ke Internet.
Cara mengaktifkan pembaruan otomatis di Windows 7
Cara mengaktifkan pembaruan otomatis pada Windows Vista
Cara mengaktifkan pembaruan otomatis pada Windows XP
Menggunakan up-to-date perangkat lunak antivirus
Kebanyakan perangkat lunak antivirus dapat mendeteksi dan mencegah infeksi dengan perangkat lunak berbahaya yang dikenal. Untuk membantu melindungi Anda dari infeksi, Anda harus selalu menjalankan perangkat lunak antivirus, seperti Microsoft Security Essentials, yang diperbarui dengan berkas tanda tangan terbaru. Untuk informasi lebih lanjut, Lihat http://www.microsoft.com/security/antivirus/av.aspx.
Membatasi hak pengguna di komputer
Dimulai dengan Windows Vista dan Windows 7, Microsoft memperkenalkan User Account Control (UAC), yang, ketika diaktifkan, memungkinkan pengguna untuk menjalankan dengan hak pengguna yang paling. Skenario ini membatasi kemungkinan serangan oleh malware dan ancaman lainnya yang membutuhkan hak administratif untuk menjalankan.
Anda dapat mengkonfigurasi UAC di komputer Anda untuk memenuhi preferensi Anda:
User Account Control di Windows 7
User Account Control pada Windows Vista
Menerapkan prinsip hak istimewa setidaknya pada Windows XP
Lebih di kontrol Account pengguna
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer
Berhati-hati dengan e-mail dan lampiran diterima dari sumber-sumber yang tidak diketahui, atau menerima tiba-tiba dari sumber-sumber yang dikenal. Gunakan hati-hati ketika menerima file transfer dari sumber-sumber yang dikenal atau tidak dikenal.
Gunakan hati-hati ketika mengklik pada link ke halaman Web
Berhati-hati dengan link ke halaman Web yang Anda terima dari sumber-sumber yang tidak diketahui, terutama jika link ke halaman Web Anda tidak akrab dengan, yakin tujuan atau curiga. Perangkat lunak berbahaya dapat diinstal di komputer Anda hanya dengan mengunjungi halaman Web dengan konten berbahaya.
Menghindari men-download perangkat lunak bajakan
Ancaman juga dapat dibundel dengan perangkat lunak dan file yang tersedia untuk di-download di berbagai situs torrent. Men-download perangkat lunak "retak" atau "bajakan" dari situs ini membawa tidak hanya risiko terinfeksi dengan malware, tetapi juga ilegal. Untuk informasi lebih lanjut, lihat 'risiko mendapatkan dan menggunakan perangkat lunak bajakan'.
Melindungi diri dari serangan rekayasa sosial
Meskipun penyerang mungkin berusaha untuk mengeksploitasi kerentanan dalam perangkat keras atau perangkat lunak untuk berkompromi komputer, mereka juga berusaha untuk mengeksploitasi kerentanan dalam perilaku manusia untuk melakukan hal yang sama. Ketika seorang penyerang yang mencoba untuk mengambil keuntungan dari perilaku manusia untuk membujuk pengguna yang dipakai untuk melakukan tindakan penyerang dari pilihan, itu dikenal sebagai 'rekayasa sosial'. Pada dasarnya, rekayasa sosial adalah serangan terhadap manusia antarmuka komputer target. Untuk informasi lebih lanjut, lihat 'Apakah rekayasa sosial?'.
Menggunakan sandi yang kuat
Penyerang dapat mencoba untuk mendapatkan akses ke Windows account dengan menebak sandi. Oleh karena itu penting bahwa Anda menggunakan sandi yang kuat-salah satu yang tidak dapat mudah ditebak oleh penyerang. Sandi yang kuat adalah salah satu yang memiliki minimal 8 karakter, menggabungkan huruf, angka, dan simbol. Untuk informasi lebih lanjut, lihat http://www.microsoft.com/protect/yourself/password/create.mspx.
Pemulihan
Penghapusan manual tidak dianjurkan untuk ancaman ini. Untuk mendeteksi dan menghapus ancaman ini dan perangkat lunak berbahaya lainnya yang mungkin telah diinstal, jalankan sistem penuh scan dengan produk antivirus terbaru seperti Microsoft Security Essentials, atau Pemindai keamanan Microsoft. Untuk informasi lebih lanjut tentang menggunakan perangkat lunak antivirus, lihat http://www.microsoft.com/security/antivirus/av.aspx.
Virus:Win32/Sality.AT
Deteksi Virus
Diperbarui: Sep 08, 2010 | Diterbitkan di: April 26, 2010
Alias
Unknown
- W32/Sality.B.gen!Eldorado (Command)
- W32/Sality.AT (Avira)
- Win32/Sality.AA (CA)
- Win32.Sector.21 (Dr.Web)
- Win32/Sality.NBA (ESET)
- Trojan.Win32.Vilsel.vyy (Kaspersky)
- W32/Sality.gen.e (McAfee)
- W32/Sality.BD (Norman)
- W32/Spamta.QO.worm (Panda)
- Win32.KUKU.kj (Rising AV)
- Troj/SalLoad-A (Sophos)
- PE_SALITY.BA (Trend Micro)
Alert Level
Parah
Deteksi diperbaharui:
Definisi: 1.89.42.0
Waktu rilis: 20 Agustus 2010
Deteksi awalnya dibuat:
Definisi: 1.79.247.0
Waktu rilis: 20 Maret 2010
Ringkasan
Virus:Win32/Sality.AT adalah deteksi untuk virus yang menyebar dengan menginfeksi Windows file yang dapat dieksekusi dan menyalin itu sendiri ke drive yang dapat dilepas dan terpencil. Juga berakhir berbagai produk keamanan, mencegah tertentu Windows utilitas untuk mengeksekusi dan
Gejala
Perubahan sistem
Perubahan sistem berikut dapat menunjukkan keberadaan malware ini:
Tiba-tiba penghentian terkait keamanan aplikasi, proses, atau layanan tertentu
Ketidakmampuan untuk menjalankan Windows Registry Editor
Kehadiran pengandar yang berikut:
%SystemRoot%\system32\drivers\amsint32.sys
Kegagalan untuk aplikasi tertentu terkait keamanan untuk menjalankan karena penghapusan diinstal komponen seperti file dengan ekstensi berikut:
.AVC
.VDB
Informasi teknis (analisis)
Virus:Win32/Sality.AT adalah deteksi untuk virus yang menyebar dengan menginfeksi Windows file yang dapat dieksekusi dan menyalin itu sendiri ke drive yang dapat dilepas dan terpencil. Juga berakhir berbagai produk keamanan, mencegah tertentu Windows utilitas untuk mengeksekusi dan mencoba untuk men-download file-file tambahan dari standar Web server jauh.
Instalasi
Ketika menjalankan, Virus:Win32/Sality.AT tetes pengandar perangkat sebagai berikut:
%SystemRoot%\system32\drivers\amsint32.sys - Trojan: WinNT / Sality
Virus menciptakan dan mulai layanan sistem yang bernama "amsint32" untuk menjalankan komponen menjatuhkan driver. Virus:Win32/Sality.AT berkomunikasi dengan komponen driver untuk memulihkan SSDT.
Menyebar melalui...
File infeksi
Virus:Win32/Sality.AT menyuntikkan kode ke dalam semua proses yang sedang berjalan untuk memuat dan menjalankan virus menginfeksi Windows berkas yang dapat dijalankan dengan ekstensi ".EXE "atau".SCR". Virus mencari file target lainnya dengan membaca nama-nama file yang ditemukan dalam subkunci registri berikut:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Virus:Win32/Sality.AT tidak akan menginfeksi file yang dilindungi oleh SFC atau jika nama file dimulai dengan salah satu string berikut:
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BDMCON.
BDNEWS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
RAVMON.
RAVTIMER.
AVGNT
AVCENTER.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SALITY
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZAUINST
ZLCLIENT
ZONEALARM
Drive yang dapat dilepas dan jauh
Virus:Win32/Sality.AT mencoba untuk menyalin salah satu berkas berikut ke map berkas sementara Windows (misalnya % TEMP %) dan menginfeksi berkas disalin:
%SystemRoot%\system32\NOTEPAD.EXE
%SystemRoot%\system32\WINMINE.EXE
Virus salinan berkas yang terinfeksi ke akar semua terpencil dan removable drive sebagai salah satu langkah berikut:
\.pif
\.exe
\.cmd
Virus kemudian menulis file konfigurasi Autorun yang bernama "autorun.inf" menunjuk ke salinan virus. Ketika pengandar yang diakses dari komputer mendukung fitur Autorun, virus diluncurkan secara otomatis.
Muatan
Mencegah boot Windows di mode aman
Win32/Sality.at recursviely menghapus semua nilai registri dan data di bawah subkunci registri berikut yang mencegah pengguna untuk memulai Windows di safe mode:
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Menonaktifkan keamanan pemantauan perangkat lunak
Win32/Sality.at membaca tabel kata kunci layanan sistem (SSDT) secara langsung dari kernel NT ("ntoskrnl.exe") dan melewati SSDT asli untuk penyangga yang dibuat oleh komponen driver (Trojan: WinNT / Sality). Sistem API panggilan ke SSDT diarahkan ke versi bersih yang disimpan dalam komponen driver. Perilaku dapat menghalangi beberapa pinggul atau metode deteksi di-akses antivirus yang bergantung pada SSDT kait.
Menghapus file terkait keamanan
Virus ini menghapus file data keamanan yang termasuk file database deteksi perangkat lunak keamanan atau tanda-tangan yang memiliki ekstensi file berikut ditemukan di semua drive dan network shares:
.AVC
.VDB
Berakhir layanan terkait keamanan
Win32/Sality upaya untuk menghentikan dan menghapus layanan terkait keamanan berikut:
Penghapusan manual tidak dianjurkan untuk ancaman ini. Untuk mendeteksi dan menghapus ancaman ini dan perangkat lunak berbahaya lainnya yang mungkin telah diinstal, jalankan sistem penuh scan dengan produk antivirus terbaru seperti Microsoft Security Essentials, atau Pemindai keamanan Microsoft. Untuk informasi lebih lanjut tentang menggunakan perangkat lunak antivirus, lihat http://www.microsoft.com/security/antivirus/av.aspx.
Virus:Win32/Sality.AT
Deteksi Virus
Diperbarui: Sep 08, 2010 | Diterbitkan di: April 26, 2010
Alias
Unknown
- W32/Sality.B.gen!Eldorado (Command)
- W32/Sality.AT (Avira)
- Win32/Sality.AA (CA)
- Win32.Sector.21 (Dr.Web)
- Win32/Sality.NBA (ESET)
- Trojan.Win32.Vilsel.vyy (Kaspersky)
- W32/Sality.gen.e (McAfee)
- W32/Sality.BD (Norman)
- W32/Spamta.QO.worm (Panda)
- Win32.KUKU.kj (Rising AV)
- Troj/SalLoad-A (Sophos)
- PE_SALITY.BA (Trend Micro)
Alert Level
Parah
Deteksi diperbaharui:
Definisi: 1.89.42.0
Waktu rilis: 20 Agustus 2010
Deteksi awalnya dibuat:
Definisi: 1.79.247.0
Waktu rilis: 20 Maret 2010
Ringkasan
Virus:Win32/Sality.AT adalah deteksi untuk virus yang menyebar dengan menginfeksi Windows file yang dapat dieksekusi dan menyalin itu sendiri ke drive yang dapat dilepas dan terpencil. Juga berakhir berbagai produk keamanan, mencegah tertentu Windows utilitas untuk mengeksekusi dan
Gejala
Perubahan sistem
Perubahan sistem berikut dapat menunjukkan keberadaan malware ini:
Tiba-tiba penghentian terkait keamanan aplikasi, proses, atau layanan tertentu
Ketidakmampuan untuk menjalankan Windows Registry Editor
Kehadiran pengandar yang berikut:
%SystemRoot%\system32\drivers\amsint32.sys
Kegagalan untuk aplikasi tertentu terkait keamanan untuk menjalankan karena penghapusan diinstal komponen seperti file dengan ekstensi berikut:
.AVC
.VDB
Informasi teknis (analisis)
Virus:Win32/Sality.AT adalah deteksi untuk virus yang menyebar dengan menginfeksi Windows file yang dapat dieksekusi dan menyalin itu sendiri ke drive yang dapat dilepas dan terpencil. Juga berakhir berbagai produk keamanan, mencegah tertentu Windows utilitas untuk mengeksekusi dan mencoba untuk men-download file-file tambahan dari standar Web server jauh.
Instalasi
Ketika menjalankan, Virus:Win32/Sality.AT tetes pengandar perangkat sebagai berikut:
%SystemRoot%\system32\drivers\amsint32.sys - Trojan: WinNT / Sality
Virus menciptakan dan mulai layanan sistem yang bernama "amsint32" untuk menjalankan komponen menjatuhkan driver. Virus:Win32/Sality.AT berkomunikasi dengan komponen driver untuk memulihkan SSDT.
Menyebar melalui...
File infeksi
Virus:Win32/Sality.AT menyuntikkan kode ke dalam semua proses yang sedang berjalan untuk memuat dan menjalankan virus menginfeksi Windows berkas yang dapat dijalankan dengan ekstensi ".EXE "atau".SCR". Virus mencari file target lainnya dengan membaca nama-nama file yang ditemukan dalam subkunci registri berikut:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Virus:Win32/Sality.AT tidak akan menginfeksi file yang dilindungi oleh SFC atau jika nama file dimulai dengan salah satu string berikut:
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BDMCON.
BDNEWS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
RAVMON.
RAVTIMER.
AVGNT
AVCENTER.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SALITY
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZAUINST
ZLCLIENT
ZONEALARM
Drive yang dapat dilepas dan jauh
Virus:Win32/Sality.AT mencoba untuk menyalin salah satu berkas berikut ke map berkas sementara Windows (misalnya % TEMP %) dan menginfeksi berkas disalin:
%SystemRoot%\system32\NOTEPAD.EXE
%SystemRoot%\system32\WINMINE.EXE
Virus salinan berkas yang terinfeksi ke akar semua terpencil dan removable drive sebagai salah satu langkah berikut:
\.pif
\.exe
\.cmd
Virus kemudian menulis file konfigurasi Autorun yang bernama "autorun.inf" menunjuk ke salinan virus. Ketika pengandar yang diakses dari komputer mendukung fitur Autorun, virus diluncurkan secara otomatis.
Muatan
Mencegah boot Windows di mode aman
Win32/Sality.at recursviely menghapus semua nilai registri dan data di bawah subkunci registri berikut yang mencegah pengguna untuk memulai Windows di safe mode:
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
Menonaktifkan keamanan pemantauan perangkat lunak
Win32/Sality.at membaca tabel kata kunci layanan sistem (SSDT) secara langsung dari kernel NT ("ntoskrnl.exe") dan melewati SSDT asli untuk penyangga yang dibuat oleh komponen driver (Trojan: WinNT / Sality). Sistem API panggilan ke SSDT diarahkan ke versi bersih yang disimpan dalam komponen driver. Perilaku dapat menghalangi beberapa pinggul atau metode deteksi di-akses antivirus yang bergantung pada SSDT kait.
Menghapus file terkait keamanan
Virus ini menghapus file data keamanan yang termasuk file database deteksi perangkat lunak keamanan atau tanda-tangan yang memiliki ekstensi file berikut ditemukan di semua drive dan network shares:
.AVC
.VDB
Berakhir layanan terkait keamanan
Win32/Sality upaya untuk menghentikan dan menghapus layanan terkait keamanan berikut:
Agnitum Client Security Service
ALG
Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
AVP
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
Berakhir terkait keamanan proses
Win32/Sality upaya untuk mengakhiri proses terkait keamanan berikut:
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BDMCON.
BDNEWS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
RAVMON.
RAVTIMER.
AVGNT
AVCENTER.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SALITY
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZAUINST
ZLCLIENT
ZONEALARM
Selain itu, Virus:Win32/Sality.AT membunuh proses yang memiliki berikut modul yang dimuat:
DWEBLLIO
DWEBIO
Memodifikasi pengaturan Windows
Virus:Win32/Sality.AT memodifikasi registri untuk menonaktifkan Registry Editor untuk Windows:
Set nilai: "DisableRegistryTools"
Dengan data: "1"
Di bawah subkunci: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
ALG
Amon monitor
aswUpdSv
aswMon2
aswRdr
aswSP
aswTdi
aswFsBlk
acssrv
AV Engine
avast! iAVS4 Control Service
avast! Antivirus
avast! Mail Scanner
avast! Web Scanner
avast! Asynchronous Virus Monitor
avast! Self Protection
AVG E-mail Scanner
Avira AntiVir Premium Guard
Avira AntiVir Premium WebGuard
Avira AntiVir Premium MailGuard
AVP
avp1
BackWeb Plug-in - 4476822
bdss
BGLiveSvc
BlackICE
CAISafe
ccEvtMgr
ccProxy
ccSetMgr
COMODO Firewall Pro Sandbox Driver
cmdGuard
cmdAgent
Eset Service
Eset HTTP Server
Eset Personal Firewall
F-Prot Antivirus Update Monitor
fsbwsys
FSDFWD
F-Secure Gatekeeper Handler Starter
FSMA
Google Online Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall
LIVESRV
McAfeeFramework
McShield
McTaskManager
navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall main module
OutpostFirewall
PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
SpIDer FS Monitor for Windows NT
SpIDer Guard File System Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
Berakhir terkait keamanan proses
Win32/Sality upaya untuk mengakhiri proses terkait keamanan berikut:
_AVPM.
A2GUARD.
AAVSHIELD.
AVAST
ADVCHK.
AHNSD.
AIRDEFENSE
ALERTSVC
ALOGSERV
ALSVC.
AMON.
ANTI-TROJAN.
AVZ.
ANTIVIR
APVXDWIN.
ARMOR2NET.
ASHAVAST.
ASHDISP.
ASHENHCD.
ASHMAISV.
ASHPOPWZ.
ASHSERV.
ASHSIMPL.
ASHSKPCK.
ASHWEBSV.
ASWUPDSV.
ATCON.
ATUPDATER.
ATWATCH.
AVCIMAN.
AVCONSOL.
AVENGINE.
AVESVC.
AVGAMSVR.
AVGCC.
AVGCC32.
AVGCTRL.
AVGEMC.
AVGFWSRV.
AVGNT.
AVGNTDD
AVGNTMGR
AVGSERV.
AVGUARD.
AVGUPSVC.
AVINITNT.
AVKSERV.
AVKSERVICE.
AVKWCTL.
AVP.
AVP32.
AVPCC.
AVPM.
AVAST
AVSERVER.
AVSCHED32.
AVSYNMGR.
AVWUPD32.
AVWUPSRV.
AVXMONITOR9X.
AVXMONITORNT.
AVXQUAR.
BDMCON.
BDNEWS.
BDSUBMIT.
BDSWITCH.
BLACKD.
BLACKICE.
CAFIX.
CCAPP.
CCEVTMGR.
CCPROXY.
CCSETMGR.
CFIAUDIT.
CLAMTRAY.
CLAMWIN.
CLAW95.
CUREIT
DEFWATCH.
DRVIRUS.
DRWADINS.
DRWEB32W.
DRWEBSCD.
DRWEBUPW.
DWEBLLIO
DWEBIO
ESCANH95.
ESCANHNT.
EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95.
FAMEH32.
FILEMON
FIRESVC.
FIRETRAY.
FIREWALL.
FPAVUPDM.
FRESHCLAM.
EKRN.
FSAV32.
FSAVGUI.
FSBWSYS.
F-SCHED.
FSDFWD.
FSGK32.
FSGK32ST.
FSGUIEXE.
FSMA32.
FSMB32.
FSPEX.
FSSM32.
F-STOPW.
GCASDTSERV.
GCASSERV.
GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER.
GUARDGUI.
GUARDNT.
HREGMON.
HRRES.
HSOCKPE.
HUPDATE.
IAMAPP.
IAMSERV.
ICLOAD95.
ICLOADNT.
ICMON.
ICSSUPPNT.
ICSUPP95.
ICSUPPNT.
IFACE.
INETUPD.
INOCIT.
INORPC.
INORT.
INOTASK.
INOUPTNG.
IOMON98.
ISAFE.
ISATRAY.
ISRV95.
ISSVC.
KAV.
KAVMM.
KAVPF.
KAVPFW.
KAVSTART.
KAVSVC.
KAVSVCUI.
KMAILMON.
KPFWSVC.
MCAGENT.
MCMNHDLR.
MCREGWIZ.
MCUPDATE.
MCVSSHLD.
MINILOG.
MYAGTSVC.
MYAGTTRY.
NAVAPSVC.
NAVAPW32.
NAVLU32.
NAVW32.
NEOWATCHLOG.
NEOWATCHTRAY.
NISSERV
NISUM.
NMAIN.
NOD32
NORMIST.
NOTSTART.
NPAVTRAY.
NPFMNTOR.
NPFMSG.
NPROTECT.
NSCHED32.
NSMDTR.
NSSSERV.
NSSTRAY.
NTRTSCAN.
NTOS.
NTXCONFIG.
NUPGRADE.
NVCOD.
NVCTE.
NVCUT.
NWSERVICE.
OFCPFWSVC.
OUTPOST
OP_MON.
PAVFIRES.
PAVFNSVR.
PAVKRE.
PAVPROT.
PAVPROXY.
PAVPRSRV.
PAVSRV51.
PAVSS.
PCCGUIDE.
PCCIOMON.
PCCNTMON.
PCCPFW.
PCCTLCOM.
PCTAV.
PERSFW.
PERTSK.
PERVAC.
PNMSRV.
POP3TRAP.
POPROXY.
PREVSRV.
PSIMSVC.
QHONLINE.
QHONSVC.
QHWSCSVC.
RAVMON.
RAVTIMER.
AVGNT
AVCENTER.
RFWMAIN.
RTVSCAN.
RTVSCN95.
RULAUNCH.
SALITY
SAVADMINSERVICE.
SAVMAIN.
SAVPROGRESS.
SAVSCAN.
SCANNINGPROCESS.
SDRA64.
SDHELP.
SHSTAT.
SITECLI.
SPBBCSVC.
SPHINX.
SPIDERCPL.
SPIDERML.
SPIDERNT.
SPIDERUI.
SPYBOTSD.
SPYXX.
SS3EDIT.
STOPSIGNAV.
SWAGENT.
SWDOCTOR.
SWNETSUP.
SYMLCSVC.
SYMPROXYSVC.
SYMSPORT.
SYMWSC.
SYNMGR.
TAUMON.
TBMON.
AVAST
TMLISTEN.
TMNTSRV.
TMPFW.
TMPROXY.
TNBUTIL.
TRJSCAN.
UP2DATE.
VBA32ECM.
VBA32IFS.
VBA32LDR.
VBA32PP3.
VBSNTW.
VCRMON.
VPTRAY.
VRFWSVC.
VRMONNT.
VRMONSVC.
VRRW32.
VSECOMR.
VSHWIN32.
VSMON.
VSSERV.
VSSTAT.
WATCHDOG.
WEBSCANX.
WEBTRAP.
WGFE95.
WINAW32.
WINROUTE.
WINSS.
WINSSNOTIFY.
WRCTRL.
XCOMMSVR.
ZAUINST
ZLCLIENT
ZONEALARM
Selain itu, Virus:Win32/Sality.AT membunuh proses yang memiliki berikut modul yang dimuat:
DWEBLLIO
DWEBIO
Memodifikasi pengaturan Windows
Virus:Win32/Sality.AT memodifikasi registri untuk menonaktifkan Registry Editor untuk Windows:
Set nilai: "DisableRegistryTools"
Dengan data: "1"
Di bawah subkunci: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
Virus memodifikasi registri untuk mencegah melihat file dengan atribut
tersembunyi.
Set nilai: "Hidden"
Dengan data: "2"
Di bawah subkunci: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Menurunkan keamanan komputer
Virus:Win32/Sality.AT memodifikasi registri untuk mem-bypass Windows firewall.
Set nilai: ":*:enabled:ipsec"
Dengan data: "<virus file name>"
Di bawah subkunci: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
Virus memodifikasi data registri lain yang menurunkan keamanan komputer yang terinfeksi. Virus:Win32/Sality.AT memodifikasi data registri berikut untuk mengubah pengaturan Pusat Keamanan Windows dan Windows Firewall.
Set nilai: "AntiVirusOverride"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center
Set nilai: "AntiVirusOverride"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai: "AntiVirusDisableNotify"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai: "FirewallOverride"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai: "FirewallDisableNotify"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai "EnableFirewall"
dengan data: "0"
Di bawah subkunci: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Download file yang sewenang-wenang
Virus:Win32/Sality.AT mencoba untuk men-download file dari server jauh ke drive lokal, kemudian mendekripsi dan mengeksekusi file yang didownload. Kami telah mengamati virus untuk menyambung ke server berikut:
www.klkjwre9fqwieluoi.info
kukutrustnet777888.info
klkjwre77638dfqwieuoi888.info
89.119.67.154
kukutrustnet777.info
kukutrustnet888.info
kukutrustnet987.info
Set nilai: "Hidden"
Dengan data: "2"
Di bawah subkunci: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Menurunkan keamanan komputer
Virus:Win32/Sality.AT memodifikasi registri untuk mem-bypass Windows firewall.
Set nilai: ":*:enabled:ipsec"
Dengan data: "<virus file name>"
Di bawah subkunci: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
Virus memodifikasi data registri lain yang menurunkan keamanan komputer yang terinfeksi. Virus:Win32/Sality.AT memodifikasi data registri berikut untuk mengubah pengaturan Pusat Keamanan Windows dan Windows Firewall.
Set nilai: "AntiVirusOverride"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center
Set nilai: "AntiVirusOverride"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai: "AntiVirusDisableNotify"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai: "FirewallOverride"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai: "FirewallDisableNotify"
dengan data: "1"
Di bawah subkunci: HKLM\SOFTWARE\Microsoft\Security Center\Svc
Set nilai "EnableFirewall"
dengan data: "0"
Di bawah subkunci: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Download file yang sewenang-wenang
Virus:Win32/Sality.AT mencoba untuk men-download file dari server jauh ke drive lokal, kemudian mendekripsi dan mengeksekusi file yang didownload. Kami telah mengamati virus untuk menyambung ke server berikut:
www.klkjwre9fqwieluoi.info
kukutrustnet777888.info
klkjwre77638dfqwieuoi888.info
89.119.67.154
kukutrustnet777.info
kukutrustnet888.info
kukutrustnet987.info
Pada saat tulisan ini diakses file diidentifikasikan sebagai berikut:
TrojanProxy:Win32/Pramro.F
TrojanSpy:Win32/Keatep.B
Analysis by Shawn Wang and Hamish O'Dea
Pencegahan
Mengambil langkah-langkah berikut untuk membantu mencegah infeksi pada sistem Anda:
Mengaktifkan firewall pada komputer Anda.
Mendapatkan update terbaru komputer untuk semua Anda menginstal perangkat lunak.
Menggunakan up-to-date perangkat lunak antivirus.
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer.
Gunakan hati-hati ketika mengklik pada link ke halaman Web.
Menghindari men-download perangkat lunak bajakan.
Melindungi diri terhadap serangan rekayasa sosial.
Menggunakan sandi yang kuat.
Mengaktifkan firewall pada komputer Anda
Menggunakan produk firewall pihak ketiga atau Hidupkan Firewall Sambungan Internet Windows Microsoft.
Cara mengaktifkan Windows Firewall pada Windows 7
Cara mengaktifkan Windows Firewall pada Windows Vista
Cara mengaktifkan Windows firewall pada Windows XP
Mendapatkan update terbaru komputer
Pembaruan membantu melindungi komputer Anda dari virus, worm, dan ancaman lainnya seperti mereka ditemukan. Sangat penting untuk menginstal pembaruan untuk semua perangkat lunak yang diinstal di komputer Anda. Ini biasanya tersedia dari vendor situs Web.
Anda dapat menggunakan fitur pembaruan otomatis di Windows untuk men-download secara otomatis masa depan Microsoft security update ketika komputer dan terhubung ke Internet.
Cara mengaktifkan pembaruan otomatis di Windows 7
Cara mengaktifkan pembaruan otomatis pada Windows Vista
Cara mengaktifkan pembaruan otomatis pada Windows XP
Menggunakan up-to-date perangkat lunak antivirus
Kebanyakan perangkat lunak antivirus dapat mendeteksi dan mencegah infeksi dengan perangkat lunak berbahaya yang dikenal. Untuk membantu melindungi Anda dari infeksi, Anda harus selalu menjalankan perangkat lunak antivirus, seperti Microsoft Security Essentials, yang diperbarui dengan berkas tanda tangan terbaru. Untuk informasi lebih lanjut, Lihat http://www.microsoft.com/protect/computer/viruses/vista.mspx.
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer
Berhati-hati dengan e-mail dan lampiran diterima dari sumber-sumber yang tidak diketahui, atau menerima tiba-tiba dari sumber-sumber yang dikenal. Gunakan hati-hati ketika menerima file transfer dari sumber-sumber yang dikenal atau tidak dikenal.
Gunakan hati-hati ketika mengklik pada link ke halaman Web
Berhati-hati dengan link ke halaman Web yang Anda terima dari sumber-sumber yang tidak diketahui, terutama jika link ke halaman Web Anda tidak akrab dengan, yakin tujuan atau curiga. Perangkat lunak berbahaya dapat diinstal pada sistem Anda hanya dengan mengunjungi halaman Web dengan konten berbahaya.
Menghindari men-download perangkat lunak bajakan
Ancaman juga dapat dibundel dengan perangkat lunak dan file yang tersedia untuk di-download di berbagai situs torrent. Men-download perangkat lunak "retak" atau "bajakan" dari situs ini membawa tidak hanya risiko terinfeksi dengan malware, tetapi juga ilegal. Untuk informasi lebih lanjut, lihat 'risiko mendapatkan dan menggunakan perangkat lunak bajakan'.
Melindungi diri dari serangan rekayasa sosial
Meskipun penyerang mungkin berusaha untuk mengeksploitasi kerentanan dalam perangkat keras atau perangkat lunak untuk berkompromi sistem, mereka juga berusaha untuk mengeksploitasi kerentanan dalam perilaku manusia untuk melakukan hal yang sama. Ketika seorang penyerang yang mencoba untuk mengambil keuntungan dari perilaku manusia untuk membujuk pengguna yang dipakai untuk melakukan tindakan penyerang dari pilihan, itu dikenal sebagai 'rekayasa sosial'. Pada dasarnya, rekayasa sosial adalah serangan terhadap antarmuka manusia dari sistem yang ditargetkan. Untuk informasi lebih lanjut, lihat 'Apakah rekayasa sosial?'.
Menggunakan sandi yang kuat
Penyerang dapat mencoba untuk mendapatkan akses ke Windows account dengan menebak sandi. Oleh karena itu penting bahwa Anda menggunakan sandi yang kuat-salah satu yang tidak dapat mudah ditebak oleh penyerang. Sandi yang kuat adalah salah satu yang memiliki minimal 8 karakter, menggabungkan huruf, angka, dan simbol. Untuk informasi lebih lanjut, lihat http://www.microsoft.com/protect/yourself/password/create.mspx.
Pemulihan
Menggunakan Microsoft Security Essentials atau up-to-date pemindaian dan penghapusan alat lain untuk mendeteksi dan menghapus ancaman ini dan perangkat lunak yang tidak diinginkan lainnya dari komputer Anda. Untuk informasi lebih lanjut tentang produk keamanan Microsoft, lihat http://www.microsoft.com/protect/products/computer/default.mspx.
Karena untuk file penghapusan payload virus ini, pemulihan file yang terkena bencana memerlukan instalasi ulang aplikasi perangkat lunak yang terpengaruh.
Menonaktifkan Autorun fungsi
Win32/Sality.at mencoba untuk menyebar melalui removable drive pada komputer yang mendukung fungsi Autorun. Ini adalah metode umum untuk menyebarkan bagi banyak keluarga malware yang saat ini. Untuk informasi tentang menonaktifkan Autorun fungsi, silakan lihat artikel berikut:
http://support.Microsoft.com/KB/967715/
Sembuh dari infeksi berulang pada jaringan
Langkah-langkah tambahan berikut mungkin perlu diambil untuk benar-benar menghapus ancaman ini dari jaringan yang terinfeksi, dan untuk menghentikan infeksi berulang dari ini dan serupa lainnya jenis malware menyebarkan jaringan:
Memastikan bahwa produk antivirus yang diinstal pada semua komputer yang terhubung ke jaringan yang dapat mengakses atau host saham (lihat di atas untuk detail lebih lanjut).
Memastikan bahwa semua tersedia saham scan dengan produk antivirus terbaru.
Membatasi izin yang sesuai untuk jaringan saham pada jaringan Anda. Untuk informasi lebih lanjut tentang kontrol akses sederhana, lihat: http://technet.microsoft.com/en-us/library/bb456977.aspx.
Menghapus setiap tidak perlu jaringan saham atau dipetakan drive.
TrojanProxy:Win32/Pramro.F
TrojanSpy:Win32/Keatep.B
Analysis by Shawn Wang and Hamish O'Dea
Pencegahan
Mengambil langkah-langkah berikut untuk membantu mencegah infeksi pada sistem Anda:
Mengaktifkan firewall pada komputer Anda.
Mendapatkan update terbaru komputer untuk semua Anda menginstal perangkat lunak.
Menggunakan up-to-date perangkat lunak antivirus.
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer.
Gunakan hati-hati ketika mengklik pada link ke halaman Web.
Menghindari men-download perangkat lunak bajakan.
Melindungi diri terhadap serangan rekayasa sosial.
Menggunakan sandi yang kuat.
Mengaktifkan firewall pada komputer Anda
Menggunakan produk firewall pihak ketiga atau Hidupkan Firewall Sambungan Internet Windows Microsoft.
Cara mengaktifkan Windows Firewall pada Windows 7
Cara mengaktifkan Windows Firewall pada Windows Vista
Cara mengaktifkan Windows firewall pada Windows XP
Mendapatkan update terbaru komputer
Pembaruan membantu melindungi komputer Anda dari virus, worm, dan ancaman lainnya seperti mereka ditemukan. Sangat penting untuk menginstal pembaruan untuk semua perangkat lunak yang diinstal di komputer Anda. Ini biasanya tersedia dari vendor situs Web.
Anda dapat menggunakan fitur pembaruan otomatis di Windows untuk men-download secara otomatis masa depan Microsoft security update ketika komputer dan terhubung ke Internet.
Cara mengaktifkan pembaruan otomatis di Windows 7
Cara mengaktifkan pembaruan otomatis pada Windows Vista
Cara mengaktifkan pembaruan otomatis pada Windows XP
Menggunakan up-to-date perangkat lunak antivirus
Kebanyakan perangkat lunak antivirus dapat mendeteksi dan mencegah infeksi dengan perangkat lunak berbahaya yang dikenal. Untuk membantu melindungi Anda dari infeksi, Anda harus selalu menjalankan perangkat lunak antivirus, seperti Microsoft Security Essentials, yang diperbarui dengan berkas tanda tangan terbaru. Untuk informasi lebih lanjut, Lihat http://www.microsoft.com/protect/computer/viruses/vista.mspx.
Gunakan hati-hati ketika membuka lampiran dan menerima file transfer
Berhati-hati dengan e-mail dan lampiran diterima dari sumber-sumber yang tidak diketahui, atau menerima tiba-tiba dari sumber-sumber yang dikenal. Gunakan hati-hati ketika menerima file transfer dari sumber-sumber yang dikenal atau tidak dikenal.
Gunakan hati-hati ketika mengklik pada link ke halaman Web
Berhati-hati dengan link ke halaman Web yang Anda terima dari sumber-sumber yang tidak diketahui, terutama jika link ke halaman Web Anda tidak akrab dengan, yakin tujuan atau curiga. Perangkat lunak berbahaya dapat diinstal pada sistem Anda hanya dengan mengunjungi halaman Web dengan konten berbahaya.
Menghindari men-download perangkat lunak bajakan
Ancaman juga dapat dibundel dengan perangkat lunak dan file yang tersedia untuk di-download di berbagai situs torrent. Men-download perangkat lunak "retak" atau "bajakan" dari situs ini membawa tidak hanya risiko terinfeksi dengan malware, tetapi juga ilegal. Untuk informasi lebih lanjut, lihat 'risiko mendapatkan dan menggunakan perangkat lunak bajakan'.
Melindungi diri dari serangan rekayasa sosial
Meskipun penyerang mungkin berusaha untuk mengeksploitasi kerentanan dalam perangkat keras atau perangkat lunak untuk berkompromi sistem, mereka juga berusaha untuk mengeksploitasi kerentanan dalam perilaku manusia untuk melakukan hal yang sama. Ketika seorang penyerang yang mencoba untuk mengambil keuntungan dari perilaku manusia untuk membujuk pengguna yang dipakai untuk melakukan tindakan penyerang dari pilihan, itu dikenal sebagai 'rekayasa sosial'. Pada dasarnya, rekayasa sosial adalah serangan terhadap antarmuka manusia dari sistem yang ditargetkan. Untuk informasi lebih lanjut, lihat 'Apakah rekayasa sosial?'.
Menggunakan sandi yang kuat
Penyerang dapat mencoba untuk mendapatkan akses ke Windows account dengan menebak sandi. Oleh karena itu penting bahwa Anda menggunakan sandi yang kuat-salah satu yang tidak dapat mudah ditebak oleh penyerang. Sandi yang kuat adalah salah satu yang memiliki minimal 8 karakter, menggabungkan huruf, angka, dan simbol. Untuk informasi lebih lanjut, lihat http://www.microsoft.com/protect/yourself/password/create.mspx.
Pemulihan
Menggunakan Microsoft Security Essentials atau up-to-date pemindaian dan penghapusan alat lain untuk mendeteksi dan menghapus ancaman ini dan perangkat lunak yang tidak diinginkan lainnya dari komputer Anda. Untuk informasi lebih lanjut tentang produk keamanan Microsoft, lihat http://www.microsoft.com/protect/products/computer/default.mspx.
Karena untuk file penghapusan payload virus ini, pemulihan file yang terkena bencana memerlukan instalasi ulang aplikasi perangkat lunak yang terpengaruh.
Menonaktifkan Autorun fungsi
Win32/Sality.at mencoba untuk menyebar melalui removable drive pada komputer yang mendukung fungsi Autorun. Ini adalah metode umum untuk menyebarkan bagi banyak keluarga malware yang saat ini. Untuk informasi tentang menonaktifkan Autorun fungsi, silakan lihat artikel berikut:
http://support.Microsoft.com/KB/967715/
Sembuh dari infeksi berulang pada jaringan
Langkah-langkah tambahan berikut mungkin perlu diambil untuk benar-benar menghapus ancaman ini dari jaringan yang terinfeksi, dan untuk menghentikan infeksi berulang dari ini dan serupa lainnya jenis malware menyebarkan jaringan:
Memastikan bahwa produk antivirus yang diinstal pada semua komputer yang terhubung ke jaringan yang dapat mengakses atau host saham (lihat di atas untuk detail lebih lanjut).
Memastikan bahwa semua tersedia saham scan dengan produk antivirus terbaru.
Membatasi izin yang sesuai untuk jaringan saham pada jaringan Anda. Untuk informasi lebih lanjut tentang kontrol akses sederhana, lihat: http://technet.microsoft.com/en-us/library/bb456977.aspx.
Menghapus setiap tidak perlu jaringan saham atau dipetakan drive.
Catatan: Selain itu mungkin diperlukan untuk sementara mengubah izin pada
jaringan berbagi untuk read-only sampai proses desinfeksi selesai.
Mengaktifkan registry editor
Ancaman ini dapat mengubah komputer untuk mencegah Peninjau Suntingan Registri berjalan. Untuk mengaktifkan Registry Editor di komputer Anda, silakan lakukan hal berikut:
Jalankan command prompt. Klik mulai > menjalankan dan ketik cmd.
Pada prompt perintah, ketik berikut seperti ini dan tekan Enter:
reg.exe menambahkan HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System/v DisableRegistryTools /t REG_DWORD bumi 0/f
Ketik keluar pada prompt perintah.
Mengaktifkan registry editor
Ancaman ini dapat mengubah komputer untuk mencegah Peninjau Suntingan Registri berjalan. Untuk mengaktifkan Registry Editor di komputer Anda, silakan lakukan hal berikut:
Jalankan command prompt. Klik mulai > menjalankan dan ketik cmd.
Pada prompt perintah, ketik berikut seperti ini dan tekan Enter:
reg.exe menambahkan HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System/v DisableRegistryTools /t REG_DWORD bumi 0/f
Ketik keluar pada prompt perintah.
Demikian saya menulis beberapa macam virus, semoga bermanfaat..
Sumber dari Microsoft Corporation.
Sumber dari Microsoft Corporation.
Tidak ada komentar:
Posting Komentar