了解Sality病毒和如何删除它
Sality是一类感染文件的恶意软件 ,它通过通过EXE和SCR文件传播感染来影响Windows计算机。
最初可能在俄罗斯开始的Sality已经发展了很多年,所以恶意软件的不同变体呈现出不同的特征。 但是,大多数Sality变体都是蠕虫,因为它们使用某种形式的自动运行功能来通过可移动或可发现的驱动器来感染可执行文件。
有些甚至是Sality僵尸网络,它们会将受感染的计算机加入到自己的P2P网络中,以便整个计算机帮助推动窃取私人数据,破解密码,发送垃圾邮件等内容。
Sality病毒还可能包括通过互联网安装额外恶意软件的特洛伊木马下载程序,以及监视和记录击键的键盘记录程序。
注意:某些防病毒程序通过Saiload,SaliCode,Kookoo和Kukacka等其他名称引用Sality病毒。
怎么运行的
如上所述,Sality恶意软件会感染受感染计算机上的可执行文件。
大多数版本的恶意软件在%SYSTEM%文件夹内的计算机上放置了一个特殊的DLL文件,并可能将其称为“wmdrtc32.dll”,或者对于压缩版本“wmdrtc32.dl_”。
但是,并非Sality病毒的所有变种都将以这种方式使用DLL文件。 有些将代码直接加载到内存中,并且在实际的磁盘文件中的任何位置都找不到DLL文件。
其他人甚至可能会在%SYSTEM%\ drivers文件夹中存储设备驱动 程序 。 是什么让这一个棘手的是,它可能会存储一个随机的文件名,所以如果您的防病毒软件只读取文件名来检查病毒,而不是文件的内容,很有可能它不会抓住Sality病毒。
Sality恶意软件的更新通过HTTP的分散列表来提供。 一旦感染,恶意软件只需要在幕后请求更新以自行转换和增长,下载新文件以感染其他计算机。
感染迹象
了解Sality病毒感染的症状很重要 - 您的计算机可能执行的操作或Sality病毒存在时的执行方式。
与其他许多恶意软件一样,Sality可能会执行以下任何操作:
- 禁用防病毒软件并阻止访问某些防病毒和安全网站。
- 防止启动进入安全模式 。
- 删除与安全性相关的文件,进程和/或服务 。
- 将CMD,PIF和/或EXE文件与autorun.inf文件一起存储到可发现驱动器的根目录中,该文件包含在访问驱动器时加载已删除文件的说明。
- 通过访问您的电子邮件客户端的地址簿将垃圾邮件发送到您的电子邮件联系人
- 删除包含特定文件扩展名的文件 。
如何删除
防止Sality病毒感染的最佳方法是让您的计算机保持最新的补丁和安全定义。 使用Windows Update并更新您的防病毒软件以帮助阻止此攻击。
如果您已经知道自己拥有Sality病毒,则可以通过类似的方式将其清除。 使用更新且功能强大的防病毒软件程序 扫描您的计算机是否存在恶意 软件 。 你可能有运气使用间谍软件卸妆来捕捉Sality病毒,因为它也起到间谍软件的作用。 如果这些操作不起作用或者您没有定期访问Windows,请改用可启动的防病毒程序 。
一些反病毒厂商提供了专门用于处理Sality病毒的特殊工具。 例如,AVG提供流行的免费防病毒程序,但它们还包括Sality Fix,您可以免费下载以自动删除Sality病毒。 卡巴斯基允许您使用免费的SalityKiller工具。
如果发现某个文件感染了Sality,请允许该软件清理该文件。 如果发现其他恶意软件,请尝试删除病毒或采取扫描仪的建议操作。
某些防病毒程序可能无法检测到Sality病毒。 如果您怀疑有病毒,但您的安全软件未找到该病毒,请尝试将其上传至VirusTotal,以使用各种扫描引擎进行在线扫描。
另一个选择是通过使用像Everything的文件搜索工具搜索计算机来手动删除病毒文件。 但是,很有可能文件被锁定而无法正常使用。 防病毒程序通常可以通过安排在计算机关闭时删除恶意软件来避免这种情况。
接下来做什么
如果您确定Sality病毒已被删除,则应考虑禁用自动运行以防止通过USB驱动器再次感染。
将密码更改为在感染期间使用的任何在线帐户也很重要。 如果Sality病毒记录了您的击键记录,那么它很有可能会记录您的银行信息,社交媒体凭据,电子邮件密码等。更改这些密码( 感染消失后 )并检查帐户是否失窃是重要的一步。
安装一个永远在线,始终更新,易于使用的防病毒程序,以防止这种情况再次发生。 确保它可以检查可移动驱动器中的恶意软件,并设置定期扫描来定期检查所有类型的恶意软件,而不仅仅是Sality病毒。