Tìm hiểu về mẫu Virus.Win32.Sality.ag

Những loại virus như thế này thường có cơ chế tự tái tạo
các nguồn tài nguyên trên máy tính bị lây nhiễm, không
giống như worm, các loại virus không sử dụng và khai
thác các dịch vụ mạng để tự nhân bản và lây lan s
ang các
máy tính khác.
1 bản sao hoàn chỉnh của virus sẽ tự động “mò” tới các máy
tính nếu đối tượng bị lây nhiễm được xác định theo 1 trong
các cách sau – với vài lí do hoặc nguyên nhân không hề liên
quan đến các chức năng hoạt động của virus đó. Ví dụ như:
- Khi đang tiến hành lây nhiễm vào 1 hoặc nhiều ổ đĩa có
thể truy cập được, virus sẽ xâm nhập vào 1 hoặc nhiều file
cố định trên hệ thống
- Chúng có thể tự sao chép chính bản thân vào những thiết
bị lưu trữ di động
- Khi người sử dụng gửi đi 1 hoặc nhiều email với những
file đính kèm đã bị nhiễm virus
Virus.Win32.Sality.ag (theo cách đặt tên của Kaspersky) c
òn
được biết đến dưới những dạng như sau:
- Trojan.Win32.Vilsel.vyz (cũng theo Kaspersky Lab)
- W32/Sality.aa (Panda)
- Virus:Win32/Sality.AT (MS(OneCare))
- Win32/Sality.NBA virus (Nod32)
- Win32.Sality.3 (BitDef7)
- Win32.Sality.BK (VirusBuster)
- W32/Sality.AG (AVIRA)
- W32/Sality.BD (Norman)
- Virus.Win32.Sality.ag [AVP] (FSecure)

- PE_SALITY.BA (TrendMicro)
- Virus.Win32.Sality.at (v) (Sunbelt)
- Win32.Sality.BK (VirusBusterBeta)
Mẫu virus này được phát hiện vào ngày 7/4/2010 lúc 08:21
GMT, hoạt động vào ngày hôm sau – 8/4/2010 lúc 09:40
GMT, những thông tin phân tích được chính thức công bố
cùng ngày – 8/4/2010 tại thời điểm 13:13 GMT.
Phân tích chi tiết về mặt kỹ thuật
Những chương trình độc hại như này thường xuyên lây
nhiễm, “bám” vào các file thực thi trên máy tính bị lây
nhiễm. Chúng còn có thêm chức năng tự động tải và kích
hoạt thêm các chương trình nguy hiểm khác trên máy tính
của nạn nhân mà họ không hề biết. Và về bản chất, chúng là
những file Windows PE EXE, được viết bằng ngôn ngữ
C++.
Khi được kích hoạt, những chương trình này tự động “trích
xuất” 1 hoặc nhiều file từ chính chúng và lưu tại các thư m
ục
hệ thống của Windows với nhiều tên gọi khác nhau:
%System%\drivers\<rnd>.sys
với <rnd> là chuỗi ký tự Latin thường ngẫu nhiên được tạo
ra, ví dụ như INDSNN. Những file dạng này thường là
driver kernel mode của 5157 byte. Và theo Kaspersky Anti-
Virus chúng được xếp vào lớp Virus.Win32.Sality.ag.
Các driver được giải nén, cài đặt và kích hoạt thành 1 dịch
vụ của Windows được gọi là amsint32.
Quá trình lây nhiễm
Về bản chất, chúng được tạo ra để lây nhiễm vào tất cả các
file thực thi của Windows với đuôi mở rộng dạng *.EXE và
*.SCR. Nhưng chỉ những file chứa những section trong ph

ần
PE header bị lây nhiễm: TEXT, UPX và CODE.
Khi lây nhiễm thành công vào file PE, virus sẽ kế thừa các
section cuối cùng trong file và copy phần thân tới phần cuối
của section. Sau đó, chúng sẽ lây lan tới khắp mọi nơi trên ổ
cứng và tiếp tục tìm thêm file để lây nhiễm. Và khi những
file lây nhiễm này được kích hoạt, chúng sẽ lập tức copy
phần thân của file nguyên bản vào 1 thư mục tạm được tạo
ra với tên sau:
%Temp%\__Rar\.exe
Để chắc chắn rằng chúng tự động kích hoạt khi hệ thống
khởi động, chúng sẽ tự copy bản thân chúng tới tất cả các
phân vung logical với những tên ngẫu nhiên và phần mở
rộng trong danh sách sau: *.exe, *.pif và *.cmd. Đồng thời,
chúng tạo tiếp các file ẩn trong thư m
ục gốc của những ổ đĩa
này: :\autorun.inf – tại đây những doạn mã, câu lệnh để kích
hoạt các file mã độc được lưu trữ. Hoặc khi người dùng mở
Windows Explorer thì những virus này cũng sẽ được kích
hoạt.
Phương thức Payload
Một khi hoạt động, chúng sẽ tạo ra các thông số nhận diện
thống nhất được gọi là Ap1mutx7 để đánh dấu sự hiện diện
của chúng trong hệ thống. Và sau đó, chúng s
ẽ tiếp tục tải dữ
liệu từ những địa chỉ sau:
http://*******nc.sa.funpic.de/images/logos.gif
http://www.*********ccorini.com/images/logos.gif
http://www.********gelsmagazine.com/images/logos.gif
http://www.********ukanadolu.com/images/logos.gif

http://******vdar.com/logos_s.gif
http://www.****r-adv.com/gallery/Fusion/images/logos.gif
http://********67.154/testo5/
http://*********stnet777.info/home.gif
http://*******stnet888.info/home.gif
http://***********net987.info/home.gif
http://www.**********wieluoi.info/
http://**********et777888.info/
http://********7638dfqwieuoi888.info/
Những file này sẽ được lưu vào thư mục %Temp% và tự
động kích hoạt. Tại thời điểm này, những mẫu sau sẽ được
tải về hệ thống từ những đường dẫn liệt kê bên trên:
- Backdoor.Win32.Mazben.ah
- Backdoor.Win32.Mazben.ax
- Trojan.Win32.Agent.didu
Những mẫu trên được tạo ra chủ yếu để spam, phát tán thư
rác. Ngoài nhiệm vụ tải thêm các malware độc hại khác,
những virus trên còn có thể chỉnh sửa lại các thông số hệ
thống của Windows, chẳng hạn như:
- Khóa chức năng hoạt động của Task Manager, từ chối
chỉnh sửa Registry bằng cách thay đổi khóa sau:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Polici
es\system]
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001
- Thay đổi các thiết lập của Windows Security Center bằng
cách can thiệp và Registry theo cách sau:
[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
- Các file ẩn sẽ không thể bị hiển thị bằng cách thêm các
tham số sau vào Registry:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\
Advanced]

"Hidden"=dword:00000002

Thay đổi các lựa chọn trong các trình duyệt mặc định luôn
luôn kích hoạt chế độ online:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Intern
et Settings]
"GlobalUserOffline"=dword:00000000
Tắt bỏ chức năng UAC (User Account Control) bằng cách
thay đổi thông số EnableLUA trong Registry thành 0:
[HKLM\Software\Microsoft\Windows\CurrentVersion\polici
es\system]
"EnableLUA"=dword:00000000
- Tự gán chính chúng vào danh sách ứng dụng an toàn của
Windows firewall để được phép truy cập Internet và mạng
hệ thống:

[HKLM\System\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedAppli
cations\List]
"<the path to the virus’s original file>"
= "<the path to the virus’s original file>:*:Enabled:ipsec"
- Tạo tiếp khóa registry để lưu trữ dữ liệu:
HKCU\Software\<rnd>
Tại đây <rnd> là giá trị tùy biến.
- Tiếp tục, chúng sẽ tìm kiếm file:
%WinDir%\system.ini
và gán những giá trị bản ghi sau vào file đó:
[MCIDRV_VER]
DEVICEMB=509102504668 (any arbitrary number)
- Đồng thời, chúng xóa đi những khóa sau để làm cho máy
tính không thể khởi động được bằng chế độ Safe Mode:
HKLM\System\CurrentControlSet\Control\SafeBoot
HKCU\System\CurrentControlSet\Control\SafeBoot
- Xóa tất cả những file *.exe và *.rar tại thư mục tạm của
tất cả các tài khoản người dùng: %Temp%\
- Tiếp tục tìm và xóa những file với định dạng: *.VDB,
*.KEY, *.AVC và *.drw
mặt khác, chúng sử dụng những drive đã được giải nén
trước đó để chặn tất cả những yêu cầu kết nối tới những
domain có chứa nhưng chuỗi ký tự sau:
upload_virus bitdefender.
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.

spywareinfo.
ewido.
virusscan.
windowsecurity. s
pywareguide.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
- Ngắt hoạt động và xóa các dịch vụ sau:


- Đồng thời, chúng cũng có thể ngăn chặn các tiến trình
quét và nhận dạng của các chương trình bảo mật hoặc các
công cụ hỗ trợ phổ biến hiện nay.
Các cách ngăn chặn và xóa bỏ virus
Nếu máy tính bạn đang dùng không có chương trình bảo
mật đủ mạnh, hoặc không cập nhật cơ sở dữ liệu cho ứng
dụng thì nguy cơ bị ảnh hưởng là rất cao. Bạn hãy sử dụng
những mẹo sau để giữ an toàn cho hệ thống:
- Sử dụng các sản phẩm của Kaspersky tại đây hoặc đây,
đồng thời luôn cập nhật đầy đủ cho Kaspersky. Tuy nhiên,
người sử dụng hầu như không thể xóa được toàn bộ tất cả

các file đã bị lây nhiễm, bởi vì chúng “bám” vào hầu hết
các file thực thi (dạng *.exe) của Windows, do đó hãy sử
dụng thêm công cụ Sality Killer.
- Khôi phục lại các khóa Registry đã bị sửa trước đó:
[HKLM\Software\Microsoft\Windows\CurrentVersion\polic
ies\system]
"EnableLUA" = dword:00000000

[HKLM\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"FirewallOverride"=dword:00000000
"UacDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000

[HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced] "Hidden"=dword:00000002
- Xóa các khóa sau trong Registry:
[HKÑU\Software\Microsoft\Windows\CurrentVersion\Poli
cies\system]
"DisableRegistryTools"
"DisableTaskMgr"

[HKCU\Software\Microsoft\Windows\CurrentVersion\

Internet Settings] "GlobalUserOffline"
- Xóa toàn bộ các file trong thư mục tạm bao gồm Temp
và %Temp%
- Chỉ sử dụng các phần mềm bảo mật của các hãng có uy
tín, khuyến khích các bạn nên mua bản quyền chính thức
của ứng dụng – để đảm bảo các quyền lợi và nhận được sự
hỗ trợ trực tiếp từ phía nhà sản xuất. Các bạn có thể tham
khảo về chương trình bảo mật tại đây.
Chúc các bạn thành công!