Gli esperti di Kaspersky Lab hanno rilevato una nuova variante di Sality.aa, che è attualmente tra i virus polimorfi più popolari. Sality.aa ha mutato circa un anno fa ed il suo cambiamento non è stato del tutto radicale. Tuttavia, negli ultimi due anni, questo virus è rimasto nella top five dei programmi dannosi rilevati più frequentemente sui computer degli utenti. Sality, una volta avviata l'infezione, tenta di arrestare ogni processo che potrebbe ostacolarlo. Sality è un virus complesso che include keylogger e funzioni di backdoor. Sality col suo eseguibile, elimina i file associati ai software di sicurezza, tra cui antivirus e firewall.
Poi esegue un modulo di keylogging, che raccoglie informazioni di sistema e di rete, i nomi di accesso utente e password, ruba informazioni riservate memorizzate in specifici file e manda infine tutti questi dati ad un indirizzo di posta elettronica predefinito. Sality può anche aprire una porta sul retro (backdoor) che fornirà l'accesso dei malintenzionati al computer infetto. L'intruso potrà così controllare il sistema e rubare ulteriori informazioni sensibili.
Nella nuova variante, Sality.ag contiene fondamentalmente nuovo algoritmo di decrittazione e una serie di funzioni avanzate. Secondo Kaspersky Lab, la nuova variante ha tutte le possibilità di sostituire la versione precedente Sality.aa e rischia di diventare molto popolare. Una volta all'interno di un sistema, la prima cosa che fà Sality.ag è quella di installare una DLL e un driver per filtrare il traffico internet. La DLL viene utilizzata per respingere qualsiasi tipo di software di sicurezza e firewall. Di seguito è riportato uno screenshot della DLL scomposta. Esso contiene le linee che dimostrano che il virus ha la capacità di resistere a software per la sicurezza: "avast! Self Protection "," NOD32krn "," Avira AntiVir Premium "," DRWEBSCD ", ecc.
Sality utilizza uno dei modi più semplici per spegnere un antivirus: esso tenta di chiudere tutte le finestre e terminare tutti i processi con i nomi associati ai prodotti di sicurezza. Termina inoltre TaskManager e UAC, e si carica su "System\CurrentControlSet\Control\SafeBoot" in modo da far partire il proprio driver anche in modalità provvisoria. Il driver crea un dispositivo chiamato "amsint32" e comunica con "\Device\IPFILTERDRIVER", il filtro dei pacchetti IP-driver, in modo che possa filtrare tutto il traffico Internet. Nel momento in cui prende il controllo, il virus stabilisce una connessione con un server remoto e continua ad operare come backdoor ricevendo qualsiasi tipo di comando da tale server. Allo stesso tempo, il corpo principale del virus crea degli oggetti di sincronizzazione per lanciare i file infetti "uxJLpe1m" e "Ap1mutx7". Vengono inoltre scaricati i dati di servizio del virus dai seguenti URL:
- http://sagocugenc.sa.funpic.de/images/*****.gif http://www.eleonuccorini.com/images/*****.gif
- http://www.cityofangelsmagazine.com/images/*****.gif
- http://www.21yybuyukanadolu.com/images/*****.gif
- http://yucelcavdar.com/*****.gif
- http://www.luster-adv.com/gallery/Fusion/images/*****.gif
Dopo aver finito tutti i download, Sality tenterà di stabilire una connessione remota a un server e continuerà le operazioni come una regolare backdoor, eseguendo tutti i comandi che riceve dallo stesso server. La tecnica di infezione impiegata resta simile a quella utilizzata per Sality.aa, la variante precedente che utilizza l'algoritmo RC4. Consigliamo per la sua rimozione un tool specifico o Malwarebytes.
