QQ电脑管家Virus.Win32.TuTu(Sality)专杀工具(jù)是针对sality特殊病毒而研发的(de)杀毒工具。sality病(bìng)毒专杀工具能对sality病毒(dú)而产生的各种顽固与(yǔ)垃圾文件进行彻(chè)底(dǐ)的清除(chú),避免不断(duàn)持续的感染与破坏的文件(jiàn)。该病毒较为罕见与特殊,常见的杀毒软件都无法彻底将清除,只有使用该(gāi)工具才能进行清(qīng)清除。
Sality病毒(dú)是一种多态(tài)的感染型病毒。病毒运行后,会终止安全相(xiàng)关软件和服务,感染系统内的(de)exe和scr文件。并且注入病毒线程到所有进程中,在后台下载病毒到系统(tǒng)。同时它创建自(zì)身拷贝到可移动设(shè)备或(huò)者(zhě)网络共(gòng)享中(zhōng),以达到传播的目(mù)的(de)。此外,部分病毒变种还会收集被感染系统信息(xī),并发送的到指(zhǐ)定的网址。
Sality病毒是如何破坏系统的?感染以后有什么表现(xiàn)?
1. 修改注册表来设置隐藏文件不可见(jiàn)
2. 通过(guò)设置“EnableLUA”禁用(yòng)UAC,关(guān)闭windows自动更新
3. 病毒会删(shān)除以下注册表中(zhōng)”安全模式“相(xiàng)关的项,使系(xì)统无(wú)法进入安全模式(shì)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
4. 禁用Windows安全程序和防火(huǒ)墙
创建注册(cè)表键值(zhí)来禁用Windows Security和防(fáng)火墙。
5. 禁(jìn)用任务管理(lǐ)器和(hé)注册表(biǎo)编辑器
和(hé)其他的病毒相似, Sality也会(huì)禁用任务(wù)管理器和注册表编辑器。当用(yòng)户打算(suàn)打开以上应(yīng)用程序,将(jiāng)会出现以下错误信(xìn)息:
6. 病毒将被自己(jǐ)感(gǎn)染的程序添(tiān)加到防火(huǒ)墙白名(míng)单,防(fáng)止自(zì)己的网络通信被阻止(zhǐ)
7. 在%WinDir%\system.ini中添加配置信息
8. 释放驱动(dòng) “<随(suí)机(jī)文件名>.sys”到%System%\drivers,并加载启(qǐ)动
9. 共享文件夹(jiá)及其子文件(jiàn)夹下存在未(wèi)知的LNK和TMP文件(jiàn)
新的SALITY变种(zhǒng)会利用最新的Windows快捷方式漏洞。
另外一种(zhǒng)可能感染此(cǐ)病毒的特征(zhēng)为在网络共享中存在恶意(yì)的LNK和TMP文件。
10. 存在恶意的AUTORUN.INF
病(bìng)毒将创建一个病毒母体文件的拷(kǎo)贝和自动(dòng)执行该母体文件的(de)AUTORUN.INF至所有驱(qū)动器.当你进入被(bèi)感染驱动器(qì)后,就会自动执行病毒。
这(zhè)个恶意的AUTORUN.INF包含(hán)以下(xià)内容:
11. 删除临时文件(jiàn)中所有(yǒu)的“.exe”和“.rar”文件。
12. 后台下载(zǎi)病毒,将下载(zǎi)到的(de)文(wén)件(jiàn)保存到(dào)%temp%\win%s.exe,并执(zhí)行。
13. 关(guān)闭并删除指定的服务。
14. 检(jiǎn)测并关闭指定的进程。
15. 搜索并删除所有特殊后缀(zhuì)的文件。例如:.drw、.VDB、.AVC
16. 遍历系统内所(suǒ)有文件,针对(duì)大小在1000B ~ 1400000B之间的exe文(wén)件进行感染。
1、使用电脑管家发现以(yǐ)下病毒(dú)名威胁;
2、下载Virus.Win32.TuTu(Sality)专杀工具并运行;
3、点击“开始扫描”,专杀工具将扫描(miáo)全盘进行病毒清除及系统修(xiū)复;
4、扫描完成(chéng)后(hòu),重启(qǐ)计(jì)算机。
