Virus.Win32.SALITY.RT

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Erstellt bestimmte Registrierungseinträge, um Sicherheitsanwendungen zu deaktivieren.

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein. Schleust Kopien von sich selbst in Netzlaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Ändert bestimmte Registrierungseinträge, um versteckte Dateien auszublenden.

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Dateien ein:

• %System%\drivers\{6 Random Characters}.sys ← Deleted afterwards
• %User Temp%\{6 Random Characters}.exe ← Copy of %System%\ntkrnlpa.exe ← Deleted afterwards
• %System Root%\{Random Characters}.pif/.exe
• {Available Drive Roots Except for CD-ROM Drives}\{Random Characters}.pif/.exe
• {Available Drive Roots Except for CD-ROM Drives}\autorun.inf

(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) and 10(64-bit).. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Andere Systemänderungen

Löscht die folgenden Ordner:

• %User Temp%\{Folder Name that Ends with _Rar}

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Fügt folgende Zeilen/Einträge zur Datei SYSTEM.INI hinzu:

• MCIDRV_VER
  • DEVICEMB = {Random Integer Value}

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\SOFTWARE\{Generated string from username}\
{Generated number from username}
{Random String 1 = 1

HKEY_CURRENT_USER\SOFTWARE\{Generated string from username}\
{Generated number from username}
{Random String 2} = 0

HKEY_CURRENT_USER\SOFTWARE\{Generated string from username}\
{Generated number from username}
{Random String 3} = 0

HKEY_CURRENT_USER\SOFTWARE\{Generated string from username}\
{Generated number from username}
{Random String 4} = 30

HKEY_CURRENT_USER\SOFTWARE\{Generated string from username}\
{Generated number from username}
{Random String 5} = 143

HKEY_CURRENT_USER\SOFTWARE\{Generated string from username}\
{Generated number from username}
{Random String 6} = {Random Value}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplication\
List
{Malware File Location}\{Malware File Name}.exe = {Malware File Location}\{Malware File Name}.exe:%s:*:Enabled:ipsec

Ändert die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUsersOffline = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

(Note: The default value data of the said registry entry is 1.)

Erstellt die folgenden Registrierungseinträge, um Sicherheitsanwendungen zu deaktivieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = 1

Löscht die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Safeboot

HKEY_CURRENT_USER\System\CurrentControlSet\
Control\Safeboot

Dateiinfektion

Infiziert die folgenden Dateitypen:

• .EXE/.exe
• .SCR/.scr

Vermeidet es, Dateien zu infizieren, deren Name diese Zeichenfolgen enthält:

• AVPM
• A2GUARD
• A2CMD
• A2SERVICE
• A2FREE
• AVAST
• ADVCHK
• AGB
• AKRNL
• AHPROCMONSERVER
• AIRDEFENSE
• ALERTSVC
• AVIRA
• AMON
• TROJAN
• AVZ
• ANTIVIR
• APVXDWIN
• ARMOR2NET
• ASHAVAST
• ASHDISP
• ASHENHCD
• ASHMAISV
• ASHPOPWZ
• ASHSERV
• ASHSIMPL
• ASHSKPCK
• ASHWEBSV
• ASWUPDSV
• ASWSCAN
• AVCIMAN
• AVCONSOL
• AVENGINE
• AVESVC
• AVEVAL
• AVEVL32
• AVGAM
• AVGCC
• AVGCHSVX
• AVGCSRVX
• AVGNSX
• AVGCC32
• AVGCTRL
• AVGEMC
• AVGFWSRV
• AVGNT
• AVCENTER
• AVGNTMGR
• AVGSERV
• AVGTRAY
• AVGUARD
• AVGUPSVC
• AVGWDSVC
• AVINITNT
• AVKSERV
• AVKSERVICE
• AVKWCTL
• AVP
• AVP32
• AVPCC
• AVAST
• AVSERVER
• AVSCHED32
• AVSYNMGR
• AVWUPD32
• AVWUPSRV
• AVXMONITOR
• AVXQUAR
• BDSWITCH
• BLACKD
• BLACKICE
• CAFIX
• BITDEFENDER
• CCEVTMGR
• CFP
• CFPCONFIG
• CCSETMGR
• CFIAUDIT
• CLAMTRAY
• CLAMWIN
• CUREIT
• DEFWATCH
• DRVIRUS
• DRWADINS
• DRWEB
• DEFENDERDAEMON
• DWEBLLIO
• DWEBIO
• ESCANH95
• ESCANHNT
• EWIDOCTRL
• EZANTIVIRUSREGISTRATIONCHECK
• F-AGNT95
• FAMEH32
• FILEMON
• FIREWALL
• FORTICLIENT
• FORTITRAY
• FORTISCAN
• FPAVSERVER
• FPROTTRAY
• FPWIN
• FRESHCLAM
• EKRN
• FSAV32
• FSAVGUI
• FSBWSYS
• F-SCHED
• FSDFWD
• FSGK32
• FSGK32ST
• FSGUIEXE
• FSMA32
• FSMB32
• FSPEX
• FSSM32
• F-STOPW
• GCASDTSERV
• GCASSERV
• GIANTANTISPYWARE
• GUARDGUI
• GUARDNT
• GUARDXSERVICE
• GUARDXKICKOFF
• HREGMON
• HRRES
• HSOCKPE
• HUPDATE
• IAMAPP
• IAMSERV
• ICLOAD95
• ICLOADNT
• ICMON
• ICSSUPPNT
• ICSUPP95
• ICSUPPNT
• IPTRAY
• INETUPD
• INOCIT
• INORPC
• INORT
• INOTASK
• INOUPTNG
• IOMON98
• ISAFE
• ISATRAY
• KAV
• KAVMM
• KAVPF
• KAVPFW
• KAVSTART
• KAVSVC
• KAVSVCUI
• KMAILMON
• MAMUTU
• MCAGENT
• MCMNHDLR
• MCREGWIZ
• MCUPDATE
• MCVSSHLD
• MINILOG
• MYAGTSVC
• MYAGTTRY
• NAVAPSVC
• NAVAPW32
• NAVLU32
• NAVW32
• NEOWATCHLOG
• NEOWATCHTRAY
• NISSERV
• NISUM
• NMAIN
• NOD32
• NORMIST
• NOTSTART
• NPAVTRAY
• NPFMNTOR
• NPFMSG
• NPROTECT
• NSCHED32
• NSMDTR
• NSSSERV
• NSSTRAY
• NTRTSCAN
• NTOS
• NTXCONFIG
• NUPGRADE
• NVCOD
• NVCTE
• NVCUT
• NWSERVICE
• OFCPFWSVC
• OUTPOST
• ONLINENT
• OPSSVC
• OP_MON
• PAVFIRES
• PAVFNSVR
• PAVKRE
• PAVPROT
• PAVPROXY
• PAVPRSRV
• PAVSRV51
• PAVSS
• PCCGUIDE
• PCCIOMON
• PCCNTMON
• PCCPFW
• PCCTLCOM
• PCTAV
• PERSFW
• PERTSK
• PERVAC
• PESTPATROL
• PNMSRV
• PREVSRV
• PREVX
• PSIMSVC
• QUHLPSVC
• QHONLINE
• QHONSVC
• QHWSCSVC
• QHSET
• RFWMAIN
• RTVSCAN
• RTVSCN95
• SALITY
• SAPISSVC
• SCANWSCS
• SAVADMINSERVICE
• SAVMAIN
• SAVPROGRESS
• SAVSCAN
• SCANNINGPROCESS
• SDRA64
• SDHELP
• SHSTAT
• SITECLI
• SPBBCSVC
• SPHINX
• SPIDERCPL
• SPIDERML
• SPIDERNT
• SPIDERUI
• SPYBOTSD
• SPYXX
• SS3EDIT
• STOPSIGNAV
• SWAGENT
• SWDOCTOR
• SWNETSUP
• SYMLCSVC
• SYMPROXYSVC
• SYMSPORT
• SYMWSC
• SYNMGR
• TAUMON
• TBMON
• TMLISTEN
• TMNTSRV
• TMPROXY
• TNBUTIL
• TRJSCAN
• VBA32ECM
• VBA32IFS
• VBA32LDR
• VBA32PP3
• VBSNTW
• VCRMON
• VPTRAY
• VRFWSVC
• VRMONNT
• VRMONSVC
• VRRW32
• VSECOMR
• VSHWIN32
• VSMON
• VSSERV
• VSSTAT
• WATCHDOG
• WEBSCANX
• WINSSNOTIFY
• WRCTRL
• XCOMMSVR
• ZLCLIENT
• ZONEALARM

Vermeidet es, die folgenden Dateien zu infizieren:

• Protected System Files
• Files in CD-ROM drives

Verbreitung

Schleust Eigenkopien in alle Wechsel- und Festplattenlaufwerke des Systems ein.

Schleust Kopien von sich selbst in Netzlaufwerke ein.

Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.

Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:

*Note: The order of the strings varies and the combination of uppercase and lowercase letters also varies*

[AutoRun]

;{Random Characters 1}
ShEll\OPeN\coMMaNd ={Random File Name}.{pif/exe}
;
shELl\Open\DefAUlT=1
;{Random Characters 2}
Open={Random File Name}.{pif/exe}
;{Random Characters 3}
shelL\ExPLorE\CommanNd={Random File Name}.{pif/exe}
;{Random Characters 4}
shell\aUToplay\CoMMANd ={Random FileName}.{pif/exe}
;{Random Characters 5}

Prozessbeendigung

Beendet die folgenden Dienste, wenn sie auf dem betroffenen System gefunden werden:

• AVP
• Agnitum Client Security Service
• ALG
• Amon monitor
• aswUpdSv
• aswMon2
• aswRdr
• aswSP
• aswTdi
• aswFsBlk
• acssrv
• AV Engine
• avast! iAVS4 Control Service
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• avast! Asynchronous Virus Monitor
• avast! Self Protection
• AVG E-mail Scanner
• Avira AntiVir Premium Guard
• Avira AntiVir Premium WebGuard
• Avira AntiVir Premium MailGuard
• BGLiveSvc
• BlackICE
• CAISafe
• ccEvtMgr
• ccProxy
• ccSetMgr
• COMODO Firewall Pro Sandbox Driver
• cmdGuard
• cmdAgent
• Eset Service
• Eset HTTP Server
• Eset Personal Firewall
• F-Prot Antivirus Update Monitor
• fsbwsys
• FSDFWD
• F-Secure Gatekeeper Handler Starter
• FSMA
• Google Online Services
• InoRPC
• InoRT
• InoTask
• ISSVC
• KPF4
• KLIF
• LavasoftFirewall
• LIVESRV
• McAfeeFramework
• McShield
• McTaskManager
• MpsSvc
• navapsvc
• NOD32krn
• NPFMntor
• NSCService
• Outpost Firewall main module
• OutpostFirewall
• PAVFIRES
• PAVFNSVR
• PavProt
• PavPrSrv
• PAVSRV
• PcCtlCom
• PersonalFirewal
• PREVSRV
• ProtoPort Firewall service
• PSIMSVC
• RapApp
• SharedAccess
• SmcService
• SNDSrvc
• SPBBCSvc
• SpIDer FS Monitor for Windows NT
• SpIDer Guard File System Monitor
• SPIDERNT
• Symantec Core LC
• Symantec Password Validation
• Symantec AntiVirus Definition Watcher
• SavRoam
• Symantec AntiVirus
• Tmntsrv
• TmPfw
• UmxAgent
• UmxCfg
• UmxLU
• UmxPol
• vsmon
• VSSERV
• WebrootDesktopFirewallDataService
• WebrootFirewall
• wscsvc
• XCOMM

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• AVPM
• A2GUARD
• A2CMD
• A2SERVICE
• A2FREE
• AVAST
• ADVCHK
• AGB
• AKRNL
• AHPROCMONSERVER
• AIRDEFENSE
• ALERTSVC
• AVIRA
• AMON
• TROJAN
• AVZ
• ANTIVIR
• APVXDWIN
• ARMOR2NET
• ASHAVAST
• ASHDISP
• ASHENHCD
• ASHMAISV
• ASHPOPWZ
• ASHSERV
• ASHSIMPL
• ASHSKPCK
• ASHWEBSV
• ASWUPDSV
• ASWSCAN
• AVCIMAN
• AVCONSOL
• AVENGINE
• AVESVC
• AVEVAL
• AVEVL32
• AVGAM
• AVGCC
• AVGCHSVX
• AVGCSRVX
• AVGNSX
• AVGCC32
• AVGCTRL
• AVGEMC
• AVGFWSRV
• AVGNT
• AVCENTER
• AVGNTMGR
• AVGSERV
• AVGTRAY
• AVGUARD
• AVGUPSVC
• AVGWDSVC
• AVINITNT
• AVKSERV
• AVKSERVICE
• AVKWCTL
• AVP
• AVP32
• AVPCC
• AVAST
• AVSERVER
• AVSCHED32
• AVSYNMGR
• AVWUPD32
• AVWUPSRV
• AVXMONITOR
• AVXQUAR
• BDSWITCH
• BLACKD
• BLACKICE
• CAFIX
• BITDEFENDER
• CCEVTMGR
• CFP
• CFPCONFIG
• CCSETMGR
• CFIAUDIT
• CLAMTRAY
• CLAMWIN
• CUREIT
• DEFWATCH
• DRVIRUS
• DRWADINS
• DRWEB
• DEFENDERDAEMON
• DWEBLLIO
• DWEBIO
• ESCANH95
• ESCANHNT
• EWIDOCTRL
• EZANTIVIRUSREGISTRATIONCHECK
• F-AGNT95
• FAMEH32
• FILEMON
• FIREWALL
• FORTICLIENT
• FORTITRAY
• FORTISCAN
• FPAVSERVER
• FPROTTRAY
• FPWIN
• FRESHCLAM
• EKRN
• FSAV32
• FSAVGUI
• FSBWSYS
• F-SCHED
• FSDFWD
• FSGK32
• FSGK32ST
• FSGUIEXE
• FSMA32
• FSMB32
• FSPEX
• FSSM32
• F-STOPW
• GCASDTSERV
• GCASSERV
• GIANTANTISPYWARE
• GUARDGUI
• GUARDNT
• GUARDXSERVICE
• GUARDXKICKOFF
• HREGMON
• HRRES
• HSOCKPE
• HUPDATE
• IAMAPP
• IAMSERV
• ICLOAD95
• ICLOADNT
• ICMON
• ICSSUPPNT
• ICSUPP95
• ICSUPPNT
• IPTRAY
• INETUPD
• INOCIT
• INORPC
• INORT
• INOTASK
• INOUPTNG
• IOMON98
• ISAFE
• ISATRAY
• KAV
• KAVMM
• KAVPF
• KAVPFW
• KAVSTART
• KAVSVC
• KAVSVCUI
• KMAILMON
• MAMUTU
• MCAGENT
• MCMNHDLR
• MCREGWIZ
• MCUPDATE
• MCVSSHLD
• MINILOG
• MYAGTSVC
• MYAGTTRY
• NAVAPSVC
• NAVAPW32
• NAVLU32
• NAVW32
• NEOWATCHLOG
• NEOWATCHTRAY
• NISSERV
• NISUM
• NMAIN
• NOD32
• NORMIST
• NOTSTART
• NPAVTRAY
• NPFMNTOR
• NPFMSG
• NPROTECT
• NSCHED32
• NSMDTR
• NSSSERV
• NSSTRAY
• NTRTSCAN
• NTOS
• NTXCONFIG
• NUPGRADE
• NVCOD
• NVCTE
• NVCUT
• NWSERVICE
• OFCPFWSVC
• OUTPOST
• ONLINENT
• OPSSVC
• OP_MON
• PAVFIRES
• PAVFNSVR
• PAVKRE
• PAVPROT
• PAVPROXY
• PAVPRSRV
• PAVSRV51
• PAVSS
• PCCGUIDE
• PCCIOMON
• PCCNTMON
• PCCPFW
• PCCTLCOM
• PCTAV
• PERSFW
• PERTSK
• PERVAC
• PESTPATROL
• PNMSRV
• PREVSRV
• PREVX
• PSIMSVC
• QUHLPSVC
• QHONLINE
• QHONSVC
• QHWSCSVC
• QHSET
• RFWMAIN
• RTVSCAN
• RTVSCN95
• SALITY
• SAPISSVC
• SCANWSCS
• SAVADMINSERVICE
• SAVMAIN
• SAVPROGRESS
• SAVSCAN
• SCANNINGPROCESS
• SDRA64
• SDHELP
• SHSTAT
• SITECLI
• SPBBCSVC
• SPHINX
• SPIDERCPL
• SPIDERML
• SPIDERNT
• SPIDERUI
• SPYBOTSD
• SPYXX
• SS3EDIT
• STOPSIGNAV
• SWAGENT
• SWDOCTOR
• SWNETSUP
• SYMLCSVC
• SYMPROXYSVC
• SYMSPORT
• SYMWSC
• SYNMGR
• TAUMON
• TBMON
• TMLISTEN
• TMNTSRV
• TMPROXY
• TNBUTIL
• TRJSCAN
• VBA32ECM
• VBA32IFS
• VBA32LDR
• VBA32PP3
• VBSNTW
• VCRMON
• VPTRAY
• VRFWSVC
• VRMONNT
• VRMONSVC
• VRRW32
• VSECOMR
• VSHWIN32
• VSMON
• VSSERV
• VSSTAT
• WATCHDOG
• WEBSCANX
• WINSSNOTIFY
• WRCTRL
• XCOMMSVR
• ZLCLIENT
• ZONEALARM

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %User Temp%\{Random Characters 3}.exe ← Deleted afterwards
• %User Temp%\{Random Characters 2}.exe ← Deleted afterwards
• %User Temp%\{Random Characters 1}.exe ← Deleted afterwards

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)

Andere Details

Ändert die folgenden Registrierungseinträge, um versteckte Dateien auszublenden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

Fügt die folgenden Dienste hinzu und führt sie aus:

IpFilterDriver
ImagePath = %System%\drivers\ipfltdrv.sys

asmint32
ImagePath = %System%\drivers\{6 Random Character}.sys

Es macht Folgendes:

• It deletes all files with .exe file extensions in %User Temp% folder

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000(32-bit), XP und Server 2003(32-bit) und C:\Users\{Benutzername}\AppData\Local\Temp unter Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) und 10(64-bit).)