W32/Sality.AO

Описание:
W32/Sality.AO - вирус, который заражает исполняемые Win32 PE файлы. Вирус заражает файлы (*.exe и *.scr) на местных, сетевых и сменных дисках, перезаписывая код оригинального файла и сохраняя в его вирусном "теле". После этого, добавляет вирусное "тело" к ведущему файлу.

Тип вредоносной программы:
вирус

ОС подверженные заражению:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000

Уровень опасности:
средний

Размер:
57.344 байт

Технические детали:
Во избежание повторной загрузки в память, создает/проверяет наличие мутекса: Op1mutx9

Отключает Regedit и Менеджера Задачи, изменяя следующие ключи:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system "DisableRegistryTools"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system "DisableTaskMgr"

Вирус отключает Центр Безопасности, изменяя следующие ключи регистрации:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "AntiVirusDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "AntiVirusOverride"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "FirewallDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "FirewallOverride"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "UacDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center "UpdatesDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc "AntiVirusDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc "AntiVirusOverride"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc "FirewallDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc "FirewallOverride"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc "UacDisableNotify"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc "UpdatesDisableNotify"

Загружает Вредоносные программы с доменов:
* http://mattfoll.eu.interia.pl/[???]
* http://st1.dist.su.lt/l[???]
* http://lpbmx.ru/[???]
* http://bjerm.mass.hc.ru/[???]
* http://SOSiTE_AVERI_SOSiTEEE.[???]

Добавляет следующие строки в файле SYSTEM.INI:
[MCIDRV_VER]
DEVICEMB={Random numbers}


Как удалить W32/Sality.AO:
#1 Отключить функцию "Восстановление системы"
#2 Полностью проверить систему антивирусом с обновлённой базой сигнатур
#3 Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Если при попытке запустить Редактор реестра, Командную строку и/или Диспетчер задач (любым способом) появляется окно с сообщением «Редактирование реестра запрещено администратором системы», «Приглашение командной строки отключено вашим администратором» и/или «Диспетчер задач отключён администратором», рекомендуем использовать бесплатно скачать и использовать бесплатную программу, RegComTas EnableR с помощью которой возможно восстановить прав пользователя на запуск системных утилит.