VIRUS SALITY

Sality es una familia de virus que infectan archivos que se propagan mediante la infección de exe y scr. El virus también se incluye un componente de ejecución automática del gusano que permite que se extienda a cualquier unidad extraíble o de detección. Además, incluye un componente de Sality troyano downloader que instala malware adicional a través de la Web.
Síntoma:

Al igual que con muchos otros programas maliciosos, Sality desactiva el software antivirus y evita el acceso a ciertos antivirus y sitios web de seguridad. Sality también puede impedir el arranque en modo seguro y puede borrar archivos relacionados con la seguridad que se encuentran en los sistemas infectados. Para propagarse a través del componente de ejecución automática, por lo general cae Sality un exe. Cmd,. PIF, y. A la raíz de las unidades que se pueden descubrir, junto con un archivo autorun.inf que contiene instrucciones para cargar el archivo soltado (s) cuando la unidad se accede . El virus se une a las máquinas infectadas Sality a su propia red P2P. Las actualizaciones del software malicioso se alimentan a través de listas descentralizadas de las direcciones URL HTTP.



Sality.AK no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos entre pares (P2P), etc.



Sality.AK presenta las siguientes estrategias de infección:

Residente: una vez ha sido ejecutado, el virus permanece situado en la memoria RAM e intercepta funciones propias del sistema operativo. De este modo, cada vez que el sistema operativo o una aplicación traten de acceder a dichas funciones, el virus se activará, infectando nuevos archivos.
Stealth: mientras se encuentre residente en memoria, oculta las modificaciones realizadas en los sectores de arranque o archivos que infecta, tales como cambios en el tamaño, fecha, atributos, etc.
Encriptado: encripta su código con la intención de dificultar su detección por parte de los programas antivirus. Para realizar sus actividades, el virus se descifra a sí mismo y, cuando ha finalizado con ellas, se vuelve a cifrar.