[ Serviser22 @ 06.03.2007. 14:07 ] @
Nekako sam ga pokupio. Da li se siri mrezom i dali moze zaraziti ostale particije na disku ????

Naselio se svuda.

Zna li neko????

Thnx!
[ Goran Mijailovic @ 06.03.2007. 15:42 ] @
http://www.sophos.com/security/analyses/w32salityaa.html
http://www.f-secure.com/v-descs/sality_q.shtml
[ Serviser22 @ 07.03.2007. 09:05 ] @
Evo malo iz licnog iskustva, nazalost......

Napao mi je sve .exe datoteke, siri se na sve particije i fizicke diskove, siri se takodjer mrezom. U pocetku kreira datoteku u win32 "wcmgcd32.dll" naseli se u radnu memoriju i iza toga preko windows explorera pokusava zaraziti sve sto ima .exe extenziju, u stavri prati moju aktivnost u exploreru i trazi datoteke koje ce modificirati. Ne napada arhivske datoteke tipa .rar ili .zip, niti ostale extenzije.


Nije mi jasno zato ga je Shopos okarakterisao kao "low revalence", kad za moj pojam mi se nista gore nije moglo desiti

Ostao sam bez svih instaliranih programa, ali na zalost i bez instalacijiskih programa koje sam imao na drugom disku koji su bili otpakovani i imali .exe extenziju.

Da stvar bude gora, "zapakovao" sam ga u backup koji sam pravio nedavno.


Eto, tako to bude kad ja majmun kontam: "ma reko nije racunar na netu, sta ce mi antivirus, samo mi zauzima resurse..."


Ma bravo ja........
[ stefic_kg @ 31.01.2009. 20:56 ] @
Isti slucaj sam imao i ja kao i Serviser22!
S' tim sto je meni ostao i kad sam formatirao sve particije. Pa kad sam krenuo da instaliram antivirus ( NOD, kaspersky, nortonb ) pravio je neku zabunu antivirusu pa nije mogao antivirus da se pokrene uopste.
na kraju sam skinuo neki rmsality antivirus sa kojim sam uspeo da ocistim komp.

evo linka ako nekome bude zatrebao:
http://www.4shared.com/file/64907469/f18d716e/rmsality.html
[ icobh @ 03.04.2009. 10:14 ] @
Je li moguće kako dezinfekovati zaražene EXE-ove?

BTW, evo šta kažu razni AV-ovi na ovo s***** što je mene napalo. Riješio sam većinu problema, tj. ne širi se dalje jer sam reinstalirao Win ali su mi problem moji razni programi na drugoj particiji. Znači imam preko 2GB zaraženih EXE-ova...

Code:
a-squared    4.0.0.101    2009.04.03    Backdoor.Win32.IRCBot!IK
AhnLab-V3    5.0.0.2    2009.04.03    Win32/Kashu.B
AntiVir    7.9.0.129    2009.04.03    W32/Sality.Y
Antiy-AVL    2.0.3.1    2009.04.03    -
Authentium    5.1.2.4    2009.04.03    W32/Sality.AK
Avast    4.8.1335.0    2009.04.02    Win32:Sality
BitDefender    7.2    2009.04.03    Win32.Sality.OG
CAT-QuickHeal    10.00    2009.04.03    W32.Sality.U
ClamAV    0.94.1    2009.04.03    -
Comodo    1097    2009.04.03    -
DrWeb    4.44.0.09170    2009.04.03    Win32.Sector.17
eSafe    7.0.17.0    2009.04.02    Suspicious File
eTrust-Vet    31.6.6434    2009.04.03    Win32/Sality.AA
F-Prot    4.4.4.56    2009.04.02    W32/Sality.AK
F-Secure    8.0.14470.0    2009.04.03    Virus.Win32.Sality.aa
Fortinet    3.117.0.0    2009.04.03    W32/Sality.AA
GData    19    2009.04.03    Win32.Sality.OG
Ikarus    T3.1.1.49.0    2009.04.03    Backdoor.Win32.IRCBot
K7AntiVirus    7.10.690    2009.04.01    Virus.Win32.Sality.AA
Kaspersky    7.0.0.125    2009.04.03    Virus.Win32.Sality.aa
McAfee    5572    2009.04.02    W32/Sality.gen
McAfee+Artemis    5572    2009.04.02    W32/Sality.gen
McAfee-GW-Edition    None    2009.04.03    BlockReason.0
Microsoft    1.4502    2009.04.03    Virus:Win32/Sality.AM
NOD32    3985    2009.04.03    Win32/Sality.NAR
Norman    6.00.06    2009.04.02    W32/Sality.AN
nProtect    2009.1.8.0    2009.04.03    -
Panda    10.0.0.14    2009.04.03    -
PCTools    4.4.2.0    2009.04.02    -
Prevx1    V2    2009.04.03    -
Rising    21.23.41.00    2009.04.03    Win32.KUKU.GEN
Sophos    4.40.0    2009.04.03    W32/Sality-AM
Sunbelt    3.2.1858.2    2009.04.03    Virus.Win32.Sality.ah (v)
Symantec    1.4.4.12    2009.04.03    W32.Sality.AE
TheHacker    6.3.4.0.300    2009.04.03    W32/Sality.gen
TrendMicro    8.700.0.1004    2009.04.03    PE_SALITY.EN-1
VBA32    3.12.10.2    2009.04.02    Virus.Win32.Sality.kaka
ViRobot    2009.4.3.1676    2009.04.03    Win32.Sality.K
VirusBuster    4.6.5.0    2009.04.02    Win32.Sality.AP.Gen


[Ovu poruku je menjao Nemanja Živanović dana 03.04.2009. u 17:12 GMT+1]
[ Nemanja Živanović @ 03.04.2009. 16:56 ] @
Pogledaj i ovu temu:

http://www.elitesecurity.org/t...niti-Sality-nau-virus-sa-diska

Ne mozes dezinfikovati .exe fajlove. Pogledaj sta preporucuju na gornjoj temi. Kolega valjan je imao iskustva sa njim, pa ti moze pomoci.
[ valjan @ 03.04.2009. 21:03 ] @
Ovu NAJ varijantu sality virusa bi trebalo da mogu da ociste i Kaspersky, i NOD32, i Symantec, i F-Secure, i neki specijalizovani Sality Removal alati poput AVG-ovog Sality removera (http://www.avg.com/virus-removal.ndi-67769). Medjutim, nisam probao pa ne mogu da garantujem - od slicne gamadi imam samo iskustvo sa jednom varijantom Viruta, ali tu nije bilo moguce dezinfikovati exe, radilo je samo brisanje.

Sto se tice Sality-ja, oni imaju dvojaku funkciju - najpre rade kao virusi, odnosno dodaju svoj kod na kraj exe fajla i izmene par bajtova na pocetku i oko sredine fajla da osiguraju da se bas taj ubaceni kod najpre izvrsi, a druga funkcija je keylogger (belezi sve sto otkucas i s vremena na vreme posalje to emailom na razne adrese - bilo je i ruskih i poljskih i svakakvih), zatim irc server (u mnogim verzijama ovo nije bilo dovrseno i ne funkcionise), pa onda backdoor (tj. omogucava kontrolu nad tvojim racunarom), i na kraju kao downloader (tj. skida svoje "drugare" sa raznih servera). Osim svega ovog, skoro svi blokiraju rad nekih AV programa, pristup nekim web sjatovima (koji najcesce pripadaju AV programima), neki u html i php fajlove ubacuju iframe tag sa linkom za tiho preuzimanje novih virusa sa nekog servera itd. Kod nekih varijanti Salityja je zapazeno da prilikom aktivacije ovih sekundarnih funkcija, tj pokretanja zarazenog exe fajla, on dodatno izmeni taj exe fajl, i posle toga popravka vise nije moguca.