QQ电脑(nǎo)管家Virus.Win32.TuTu(Sality)专杀工(gōng)具是针对sality特殊病毒而研发(fā)的杀毒工具。sality病毒(dú)专杀工具(jù)能对(duì)sality病毒而产生的各种顽固与(yǔ)垃(lā)圾文件进行彻(chè)底的清除(chú),避免不(bú)断(duàn)持(chí)续的感染与破坏的文件。该病毒较为罕见与特殊,常(cháng)见的杀毒软件都无法彻(chè)底(dǐ)将(jiāng)清除,只有使用该工具才能进行清清(qīng)除(chú)。
Sality病(bìng)毒是一种多态的感染型病(bìng)毒(dú)。病(bìng)毒运行后(hòu),会终止(zhǐ)安(ān)全相关软件和服(fú)务,感染系统内的exe和scr文(wén)件。并且注入(rù)病毒线程到所(suǒ)有进程中,在后台下载(zǎi)病(bìng)毒到系统。同时它创建自身拷贝到可移动设(shè)备或(huò)者网络共享中(zhōng),以达到传播(bō)的(de)目(mù)的(de)。此外,部分病毒变种还会收(shōu)集被感染系统信息,并发(fā)送的到指(zhǐ)定的(de)网址。
Sality病毒是如何破坏系(xì)统的?感染以(yǐ)后(hòu)有(yǒu)什么表现?
1. 修改注册表来(lái)设置隐(yǐn)藏文(wén)件不可见
2. 通过(guò)设置“EnableLUA”禁用UAC,关闭windows自动更新
3. 病毒(dú)会删除以(yǐ)下注册(cè)表中”安全模式“相(xiàng)关(guān)的项(xiàng),使系统无法进入安全模式
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
4. 禁用(yòng)Windows安全程序和防火墙(qiáng)
创建注册表键值来禁用Windows Security和防火墙。
5. 禁用(yòng)任务管理器和注册表编辑器
和其他(tā)的病毒相(xiàng)似, Sality也(yě)会(huì)禁用任务管理器和注册表编(biān)辑器。当用户打(dǎ)算(suàn)打(dǎ)开以上应用程序(xù),将会(huì)出现(xiàn)以下错误信息:
6. 病毒将被自己(jǐ)感染(rǎn)的程序添加到防(fáng)火墙白名单,防止自己的网络通(tōng)信被(bèi)阻止(zhǐ)
7. 在%WinDir%\system.ini中添加配置信息
8. 释放驱动 “<随机文件名>.sys”到%System%\drivers,并加载启动
9. 共享文件夹及(jí)其子文件夹(jiá)下存在(zài)未知的LNK和TMP文件(jiàn)
新(xīn)的SALITY变(biàn)种会利用最新的Windows快捷方式(shì)漏洞。
另外一种可能(néng)感(gǎn)染此病毒的特征为在网络共享(xiǎng)中存(cún)在恶意(yì)的(de)LNK和TMP文(wén)件。
10. 存在恶意的AUTORUN.INF
病毒将创(chuàng)建一个病毒母体文件的拷贝和(hé)自动执行该母体文件(jiàn)的AUTORUN.INF至所(suǒ)有驱(qū)动器.当(dāng)你进入被感染驱动器后,就会自动执行病毒。
这(zhè)个恶意的(de)AUTORUN.INF包(bāo)含以下内容:
11. 删(shān)除临时文件中(zhōng)所有的“.exe”和“.rar”文(wén)件。
12. 后台(tái)下载病(bìng)毒,将下(xià)载到的文件保存到%temp%\win%s.exe,并执行。
13. 关(guān)闭并删除指(zhǐ)定(dìng)的服务。
14. 检(jiǎn)测并关闭(bì)指定(dìng)的进程。
15. 搜索并删(shān)除所有特殊后缀(zhuì)的文件。例如:.drw、.VDB、.AVC
16. 遍历系统内(nèi)所有文件,针(zhēn)对(duì)大小在1000B ~ 1400000B之(zhī)间的exe文件进行感染(rǎn)。
1、使用电脑(nǎo)管家发现以下病毒名威(wēi)胁(xié);
2、下载Virus.Win32.TuTu(Sality)专(zhuān)杀工具并(bìng)运行;
3、点击“开始扫描”,专杀工具将扫(sǎo)描全盘进行(háng)病毒(dú)清除及系(xì)统修复;
4、扫描(miáo)完成后,重启计(jì)算机。
