SalityKiller(Sality病毒专杀)是 感染型病毒 Sality的专杀工具(jù),C.D.E.F.每个(gè)盘符下面(miàn)都会生(shēng)产出这样(yàng)的exe或(huò)文(wén)件(jiàn).使(shǐ)用(yòng)本工具可以彻底(dǐ)删除木(mù)马病毒。
SalityKiller是一(yī)款(kuǎn)非常专业(yè)的sality病(bìng)毒专杀工具,它拥有(yǒu)全自动处理程序,用户只需将软件打开即可对电脑的所有(yǒu)盘符进行扫描并(bìng)清除sality病毒(dú)。在测试前小编也使(shǐ)用过金山(shān)毒霸、QQ电脑管家、360急救箱都无法(fǎ)彻底(dǐ)清除(chú)该病毒,不管是如何删除重启后(hòu)依然存在,而它(tā)们给电(diàn)脑(nǎo)带来(lái)的危害(hài)也十分巨大,会终(zhōng)止(zhǐ)安全相关软件和服务,感染系统内的exe和scr文件。并且注(zhù)入病毒线程到所有进程中,在后台下载病毒到系统。同时它(tā)创建(jiàn)自身(shēn)拷贝(bèi)到可移动设备(bèi)或(huò)者(zhě)网络共享中,以(yǐ)达(dá)到传播的目的。此外,部分病毒变种还会收集(jí)被感染(rǎn)系统信息,并发送(sòng)的到指定的网址。
1、解压缩,找到主程序
2、双击主程序运行即可(kě)
1.修改注册表(biǎo)来设置隐(yǐn)藏文件不可见(jiàn)
2.通过设置“EnableLUA”禁用(yòng)UAC,关闭windows自动更新(xīn)
3.病毒会删(shān)除以(yǐ)下注册(cè)表中”安全模式(shì)“相关的项,使系(xì)统无法进入安(ān)全(quán)模式
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Safeboot
4.禁用Windows安全程序和防火墙
创建注册表键值来禁(jìn)用Windows Security和(hé)防(fáng)火墙(qiáng)。
5.禁(jìn)用任(rèn)务管理器和注册(cè)表编(biān)辑(jí)器
和其他的病毒相似, Sality也(yě)会禁用任务管(guǎn)理(lǐ)器和注册表编辑(jí)器(qì)。当用户(hù)打算打开以上应用程序(xù),将会出现以下错误信息:
6.病毒将被(bèi)自(zì)己(jǐ)感(gǎn)染(rǎn)的程序(xù)添加到(dào)防火墙(qiáng)白名单(dān),防止自(zì)己的网络通信被阻止
7.在%WinDir%\system.ini中添(tiān)加配(pèi)置信息
8.释放驱动 “<随机文件名(míng)>.sys”到%System%\drivers,并加载启动(dòng)
9.共享文件夹及其子文件(jiàn)夹下存在(zài)未(wèi)知的LNK和TMP文件
新的SALITY变(biàn)种会利用最新的Windows快捷方(fāng)式(shì)漏洞。
另外一(yī)种(zhǒng)可能(néng)感染此病毒的特征为在网络共享中存在恶意的LNK和TMP文(wén)件。
10.存在恶意的AUTORUN.INF
病毒将创建一个病毒母体文件的拷(kǎo)贝和自动(dòng)执行该母(mǔ)体文件的AUTORUN.INF至所(suǒ)有驱动(dòng)器.当你进入被感染驱动器后,就(jiù)会自(zì)动执(zhí)行病毒。
这个恶意(yì)的(de)AUTORUN.INF包(bāo)含以下内容:
11.删(shān)除(chú)临时(shí)文件中所有(yǒu)的“.exe”和“.rar”文件。
12.后台(tái)下载病(bìng)毒,将下载(zǎi)到的文件保(bǎo)存到%temp%\win%s.exe,并(bìng)执(zhí)行。
13.关闭(bì)并删除指定的服务。
14.检测并关闭指定的进(jìn)程。
15.搜索(suǒ)并(bìng)删除(chú)所有特殊后缀(zhuì)的文件。例如(rú):.drw、.VDB、.AVC
16.遍历系统内所有文件,针对大小在1000B ~ 1400000B之间的exe文件进行(háng)感染。
