・W32/Sality.genはWin32 PE実行ファイルに感染する寄生型ウイルスです。
・実行時、ランダムなUDPポートで受信待機を行い、以下のパスに自身のコピーを作成するサービスを開始します。
* %Windir%\System32\Drivers\{ランダム}.sys
・次に、以下のレジストリキーを作成します。
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3360pr
* HKEY_CURRENT_USER\Software\{%ユーザ名%}914
・また、以下のレジストリキーでシステム構成を改変する可能性があります。
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\Authorized Applications\List
* SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
(%UserName%はWindowsのログインユーザのID)
・ターゲットがシステムを復元しにくくなるよう、以下のサブツリーのレジストリキーを削除し、ユーザが必要な場合は元の構成から復元しなければならないようにします。
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
・ファイル名に以下の文字列を含むファイルを除く、ローカル、ネットワーク、リムーバブルドライブの*.exe、*.scrファイルに寄生して感染する可能性があります。
* WINDOWS
* SYSTEM
* SYSTEM32
・また、asc3360pr.scr、asc3360pr.pif、asc3360pr.exeというファイル名で自身のコピーを以下のタイプのWindowsドライブにドロップ(作成)し、自身を自動実行するAutorun.infを作成します。
* 不明なドライブタイプ(タイプ0)
* リムーバブルメディア(タイプ2)- USBドライブなど
* リモートネットワークドライブ(タイプ4)- 共有フォルダなど
・以下の文字列を含むサービスが削除される可能性があります。
* Agnitum Client Security Service
* ALG
* aswUpdSv
* avast! Antivirus
* avast! Mail Scanner
* avast! Web ScannerAVP
* BackWeb Plug-in - 4476822
* bdss
* BGLiveSvc
* BlackICE
* CAISafe
* ccEvtMgr
* ccProxy
* ccSetMgr
* Eset Service
* F-Prot Antivirus Update Monitor
* fsbwsys
* FSDFWD
* F-Secure Gatekeeper Handler Starter
* fshttps
* FSMA
* InoRPC
* InoRT
* InoTask
* ISSVC
* KPF4
* LavasoftFirewall
* LIVESRV
* McAfeeFramework
* McShield
* McTaskManager
* navapsvc
* NOD32krn
* NPFMntor
* NSCService
* Outpost Firewall main module
* OutpostFirewall
* PAVFIRES
* PAVFNSVR
* PavProt
* PavPrSrv
* PAVSRV
* PcCtlCom
* PersonalFirewal
* PREVSRV
* ProtoPort Firewall service
* PSIMSVC
* RapApp
* SmcService
* SNDSrvc
* SPBBCSvc
* Symantec Core LC
* Tmntsrv
* TmPfw
* tmproxy
* UmxAgent
* UmxCfg
* UmxLU
* UmxPol
* vsmon
* VSSERV
* WebrootDesktopFirewallDataService
* WebrootFirewall
* XCOMM
・また、ファイル名に以下の拡張子、文字列を含むファイルを検索して削除する可能性があります。
* .vdb
* .key
* .avc
