Tìm hiểu về mẫu Virus.Win32.Sality.ag

Những loại virus như thế này thường có cơ chế tự tái tạo các nguồn tài
nguyên trên máy tính bị lây nhiễm, không giống như worm, các loại
virus không sử dụng và khai thác các dịch vụ mạng để tự nhân bản và
lây lan sang các máy tính khác. 1 bản sao hoàn chỉnh của virus sẽ tự động
“mò” tới các máy tính nếu đối tượng bị lây nhiễm được xác định theo 1 trong
các cách sau – với vài lí do hoặc nguyên nhân không hề liên quan đến các
chức năng hoạt động của virus đó. Ví dụ như:
- Khi đang tiến hành lây nhiễm vào 1 hoặc nhiều ổ đĩa có thể truy cập được,
virus sẽ xâm nhập vào 1 hoặc nhiều file cố định trên hệ thống
- Chúng có thể tự sao chép chính bản thân vào những thiết bị lưu trữ di động
- Khi người sử dụng gửi đi 1 hoặc nhiều email với những file đính kèm đã bị
nhiễm virus
Virus.Win32.Sality.ag (theo cách đặt tên của Kaspersky) còn được biết đến
dưới những dạng như sau:
- Trojan.Win32.Vilsel.vyz (cũng theo Kaspersky Lab)
- W32/Sality.aa (Panda)
- Virus:Win32/Sality.AT (MS(OneCare))
- Win32/Sality.NBA virus (Nod32)
- Win32.Sality.3 (BitDef7)
- Win32.Sality.BK (VirusBuster)
- W32/Sality.AG (AVIRA)
- W32/Sality.BD (Norman)
- Virus.Win32.Sality.ag [AVP] (FSecure)
- PE_SALITY.BA (TrendMicro)

- Virus.Win32.Sality.at (v) (Sunbelt)
- Win32.Sality.BK (VirusBusterBeta)
Mẫu virus này được phát hiện vào ngày 7/4/2010 lúc 08:21 GMT, hoạt động
vào ngày hôm sau – 8/4/2010 lúc 09:40 GMT, những thông tin phân tích
được chính thức công bố cùng ngày – 8/4/2010 tại thời điểm 13:13 GMT.
Phân tích chi tiết về mặt kỹ thuật
Những chương trình độc hại như này thường xuyên lây nhiễm, “bám” vào
các file thực thi trên máy tính bị lây nhiễm. Chúng còn có thêm chức năng tự
động tải và kích hoạt thêm các chương trình nguy hiểm khác trên máy tính
của nạn nhân mà họ không hề biết. Và về bản chất, chúng là những file
Windows PE EXE, được viết bằng ngôn ngữ C++.
Khi được kích hoạt, những chương trình này tự động “trích xuất” 1 hoặc
nhiều file từ chính chúng và lưu tại các thư mục hệ thống của Windows với
nhiều tên gọi khác nhau:
%System%\drivers\<rnd>.sys
với <rnd> là chuỗi ký tự Latin thường ngẫu nhiên được tạo ra, ví dụ như
INDSNN. Những file dạng này thường là driver kernel mode của 5157 byte.
Và theo Kaspersky Anti-Virus chúng được xếp vào lớp
Virus.Win32.Sality.ag.
Các driver được giải nén, cài đặt và kích hoạt thành 1 dịch vụ của Windows
được gọi là amsint32.
Quá trình lây nhiễm
Về bản chất, chúng được tạo ra để lây nhiễm vào tất cả các file thực thi của
Windows với đuôi mở rộng dạng *.EXE và *.SCR. Nhưng chỉ những file
chứa những section trong phần PE header bị lây nhiễm: TEXT, UPX và
CODE.
Khi lây nhiễm thành công vào file PE, virus sẽ kế thừa các section cuối cùng
trong file và copy phần thân tới phần cuối của section. Sau đó, chúng sẽ lây
lan tới khắp mọi nơi trên ổ cứng và tiếp tục tìm thêm file để lây nhiễm. Và
khi những file lây nhiễm này được kích hoạt, chúng sẽ lập tức copy phần thân

của file nguyên bản vào 1 thư mục tạm được tạo ra với tên sau:
%Temp%\__Rar\.exe
Để chắc chắn rằng chúng tự động kích hoạt khi hệ thống khởi động, chúng sẽ
tự copy bản thân chúng tới tất cả các phân vung logical với những tên ngẫu
nhiên và phần mở rộng trong danh sách sau: *.exe, *.pif và *.cmd. Đồng thời,
chúng tạo tiếp các file ẩn trong thư mục gốc của những ổ đĩa này:
:\autorun.inf – tại đây những doạn mã, câu lệnh để kích hoạt các file mã độc
được lưu trữ. Hoặc khi người dùng mở Windows Explorer thì những virus
này cũng sẽ được kích hoạt.
Phương thức Payload
Một khi hoạt động, chúng sẽ tạo ra các thông số nhận diện thống nhất được
gọi là Ap1mutx7 để đánh dấu sự hiện diện của chúng trong hệ thống. Và sau
đó, chúng sẽ tiếp tục tải dữ liệu từ những địa chỉ sau:
http://*******nc.sa.funpic.de/images/logos.gif
http://www.*********ccorini.com/images/logos.gif
http://www.********gelsmagazine.com/images/logos.gif
http://www.********ukanadolu.com/images/logos.gif
http://******vdar.com/logos_s.gif
http://www.****r-adv.com/gallery/Fusion/images/logos.gif
http://********67.154/testo5/
http://*********stnet777.info/home.gif
http://*******stnet888.info/home.gif
http://***********net987.info/home.gif
http://www.**********wieluoi.info/
http://**********et777888.info/
http://********7638dfqwieuoi888.info/
Những file này sẽ được lưu vào thư mục %Temp% và tự động kích hoạt. Tại
thời điểm này, những mẫu sau sẽ được tải về hệ thống từ những đường dẫn
liệt kê bên trên:
- Backdoor.Win32.Mazben.ah

- Backdoor.Win32.Mazben.ax
- Trojan.Win32.Agent.didu
Những mẫu trên được tạo ra chủ yếu để spam, phát tán thư rác. Ngoài nhiệm
vụ tải thêm các malware độc hại khác, những virus trên còn có thể chỉnh sửa
lại các thông số hệ thống của Windows, chẳng hạn như:
- Khóa chức năng hoạt động của Task Manager, từ chối chỉnh sửa Registry
bằng cách thay đổi khóa sau:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
- Thay đổi các thiết lập của Windows Security Center bằng cách can thiệp và
Registry theo cách sau:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
- Các file ẩn sẽ không thể bị hiển thị bằng cách thêm các tham số sau vào
Registry:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced]
"Hidden"=dword:00000002


Thay đổi các lựa chọn trong các trình duyệt mặc định luôn luôn kích hoạt chế
độ online:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"GlobalUserOffline"=dword:00000000
Tắt bỏ chức năng UAC (User Account Control) bằng cách thay đổi thông số
EnableLUA trong Registry thành 0:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA"=dword:00000000
- Tự gán chính chúng vào danh sách ứng dụng an toàn của Windows firewall
để được phép truy cập Internet và mạng hệ thống:
[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"<the path to the virus’s original file>"
= "<the path to the virus’s original file>:*:Enabled:ipsec"
- Tạo tiếp khóa registry để lưu trữ dữ liệu:
HKCU\Software\<rnd>
Tại đây <rnd> là giá trị tùy biến.
- Tiếp tục, chúng sẽ tìm kiếm file:
%WinDir%\system.ini
và gán những giá trị bản ghi sau vào file đó:
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number)
- Đồng thời, chúng xóa đi những khóa sau để làm cho máy tính không thể
khởi động được bằng chế độ Safe Mode:
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
- Xóa tất cả những file *.exe và *.rar tại thư mục tạm của tất cả các tài khoản
người dùng: %Temp%\
- Tiếp tục tìm và xóa những file với định dạng: *.VDB, *.KEY, *.AVC và
*.drw

mặt khác, chúng sử dụng những drive đã được giải nén trước đó để chặn tất
cả những yêu cầu kết nối tới những domain có chứa nhưng chuỗi ký tự sau:
upload_virus
sality-remov
virusinfo.
cureit.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity. s
pywareguide.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
- Ngắt hoạt động và xóa các dịch vụ sau:
Agnitum
Client
Security
Service

ALG Amon
monitor
aswUpdSv
aswMon2
Premium
WebGuar
d
Avira
AntiVir
Premium
MailGuar
d
Update Monitor
fsbwsysFSDFW
D
F-Secure
Gatekeeper
Handler Starter
FSMA
Google Online
PersonalFirewal
PREVSRV
ProtoPort Firewall service
PSIMSVC
RapApp
SmcService
SNDSrvc
SPBBCSvc
aswRdr
aswSP

aswTdi
aswFsBlk
acssrv
AV Engine

avast!
iAVS4
Control
Service
avast!
Antivirus
avast! Mail
Scanner
avast! Web
Scanner
avast!
Asynchrono
avp1
BackWeb
Plug-in -
4476822
bdss
BGLiveS
vc
BlackICE

CAISafe
ccEvtMgr

ccProxy

ccSetMgr

COMOD
O
Firewall
Pro
Sandbox
Driver
Services
InoRPC
InoRT
InoTask
ISSVC
KPF4
KLIF
LavasoftFirewall

LIVESRV
McAfeeFramew
ork
McShield
McTaskManager

navapsvc
NOD32krn
NPFMntor
NSCService
Outpost Firewall
SpIDer FS Monitor for Windows
NT

SpIDer Guard File System
Monitor
SPIDERNT
Symantec Core LC
Symantec Password Validation
Symantec AntiVirus Definition
Watcher
SavRoam
Symantec AntiVirus
Tmntsrv
TmPfw
tmproxy
tcpsr
UmxAgent
UmxCfg
UmxLU
us Virus
Monitor
avast! Self
Protection
AVG E-
mail
Scanner
Avira
AntiVir
Premium
Guard
Avira
AntiVir
cmdGuar

d
cmdAgent
Eset
Service
Eset
HTTP
Server
Eset
Personal
Firewall
F-Prot
Antivirus
main module
OutpostFirewall

PAVFIRES
PAVFNSVR
PavProt
PavPrSrv
PAVSRV
PcCtlCom
UmxPol
vsmon
VSSERV
WebrootDesktopFirewallDataSer
vice
WebrootFirewall
XCOMM
AVP
- Đồng thời, chúng cũng có thể ngăn chặn các tiến trình quét và nhận dạng

của các chương trình bảo mật hoặc các công cụ hỗ trợ phổ biến hiện nay.
Các cách ngăn chặn và xóa bỏ virus
Nếu máy tính bạn đang dùng không có chương trình bảo mật đủ mạnh, hoặc
không cập nhật cơ sở dữ liệu cho ứng dụng thì nguy cơ bị ảnh hưởng là rất
cao. Bạn hãy sử dụng những mẹo sau để giữ an toàn cho hệ thống:
- Sử dụng các sản phẩm của Kaspersky tại đây hoặc đây, đồng thời luôn cập
nhật đầy đủ cho Kaspersky. Tuy nhiên, người sử dụng hầu như không thể xóa
được toàn bộ tất cả các file đã bị lây nhiễm, bởi vì chúng “bám” vào hầu hết
các file thực thi (dạng *.exe) của Windows, do đó hãy sử dụng thêm công cụ
Sality Killer.
- Khôi phục lại các khóa Registry đã bị sửa trước đó:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system]
"EnableLUA" = dword:00000000

[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"FirewallOverride"=dword:00000000
"UacDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002
- Xóa các khóa sau trong Registry:

[HKÑU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
"DisableRegistryTools"
"DisableTaskMgr"

[HKCU\Software\Microsoft\Windows\CurrentVersion\
Internet Settings] "GlobalUserOffline"
- Xóa toàn bộ các file trong thư mục tạm bao gồm Temp và %Temp%
- Chỉ sử dụng các phần mềm bảo mật của các hãng có uy tín, khuyến khích
các bạn nên mua bản quyền chính thức của ứng dụng – để đảm bảo các quyền
lợi và nhận được sự hỗ trợ trực tiếp từ phía nhà sản xuất. Các bạn có thể tham
khảo về chương trình bảo mật tại đây.