SalityKiller(Sality病(bìng)毒专杀)是(shì) 感染型病毒 Sality的专杀工具(jù),C.D.E.F.每个(gè)盘符下面都会生产(chǎn)出(chū)这样的exe或文(wén)件.使用(yòng)本工具可以彻底(dǐ)删除木马病毒。
SalityKiller是一款非常(cháng)专业的sality病毒(dú)专杀工具,它(tā)拥有全自动处(chù)理程序,用户只需将(jiāng)软件打开即可对(duì)电脑(nǎo)的所有盘(pán)符进行扫(sǎo)描并清除sality病毒。在测试前小编(biān)也使(shǐ)用过金山毒霸(bà)、QQ电脑(nǎo)管家、360急救箱都无法彻底清除该病毒,不管是如何(hé)删除(chú)重启后依然(rán)存(cún)在,而它(tā)们给(gěi)电脑带来的危害也十分巨大,会终止安全相关软件和服务,感染系统内的exe和scr文(wén)件。并且注(zhù)入(rù)病(bìng)毒(dú)线程到所有进程(chéng)中,在后台下载病毒到系统(tǒng)。同(tóng)时(shí)它(tā)创(chuàng)建(jiàn)自身拷贝到可移动设备或者网络共享中(zhōng),以达到传播的目的。此外,部分病(bìng)毒变种还会收集被感(gǎn)染系统信息,并发送(sòng)的到指定的网(wǎng)址。
1、解压缩,找(zhǎo)到主程序
2、双击主程序运行(háng)即可
1.修改注册表来设置隐藏(cáng)文(wén)件不可见
2.通过设置“EnableLUA”禁用(yòng)UAC,关闭windows自动(dòng)更新
3.病毒会(huì)删除以下注册表中”安全模式“相关的项,使系统无法进(jìn)入安全模式
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
4.禁用Windows安全程序和防火墙
创建注册表键值来禁用Windows Security和防火墙(qiáng)。
5.禁(jìn)用任务管理器和注(zhù)册表编辑器
和其(qí)他的病毒相似, Sality也会禁用任务(wù)管理器(qì)和注册表编辑器。当用户打算打开以上应用(yòng)程序,将会出现以下错误信息:
6.病毒将被自己(jǐ)感染(rǎn)的程序添(tiān)加到防火墙白名单,防止自己的网络通信被阻止(zhǐ)
7.在%WinDir%\system.ini中添加配置信息
8.释放驱动 “<随(suí)机文件(jiàn)名>.sys”到(dào)%System%\drivers,并加载启动
9.共享(xiǎng)文件(jiàn)夹(jiá)及其子文件夹下存在(zài)未知的LNK和TMP文件
新的SALITY变种会(huì)利用最新的Windows快捷方式漏(lòu)洞。
另外一种可能感染此病毒的特征为在网(wǎng)络共(gòng)享中存(cún)在恶意的LNK和TMP文件。
10.存在恶意的AUTORUN.INF
病毒(dú)将创建一个病(bìng)毒母体文件的拷贝(bèi)和自动(dòng)执行该(gāi)母(mǔ)体文件的AUTORUN.INF至所有驱动(dòng)器.当(dāng)你进入被感染驱动器(qì)后(hòu),就会自动执行病毒。
这个恶意的AUTORUN.INF包含以下内(nèi)容:
11.删除临时文(wén)件中所有的“.exe”和“.rar”文件。
12.后台(tái)下载病毒,将下载到的文件保存到(dào)%temp%\win%s.exe,并执(zhí)行(háng)。
13.关闭并删除指定的(de)服务。
14.检测并关(guān)闭指定的进程。
15.搜索并删(shān)除所有特殊后缀的文(wén)件(jiàn)。例如:.drw、.VDB、.AVC
16.遍历系统(tǒng)内所有文件,针对大小在1000B ~ 1400000B之间的(de)exe文(wén)件进行感(gǎn)染。
