Sality es una familia de software malintencionado que infecta archivos que afecta las computadoras con Windows al propagar infecciones a través de archivos EXE y SCR.
La salidad, que pudo haber comenzado originalmente en Rusia, ha evolucionado mucho con el paso de los años, por lo que las diferentes variaciones del malware presentan características diferentes. Sin embargo, la mayoría de las variantes de Sality son gusanos porque utilizan alguna forma de funcionalidad de ejecución automática para infectar archivos ejecutables a través de unidades extraíbles o detectables.
Algunos incluso son botnets Sality que unen las máquinas infectadas a su propia red P2P, de modo que las computadoras en su conjunto ayudan a facilitar cosas como el robo de datos privados, descifrar contraseñas, enviar correo no deseado y mucho más.
El virus Sality también puede incluir un descargador de troyanos que instala malware adicional a través de Internet y un registrador de teclas que controla y registra las pulsaciones de teclado.
Nota: Algunos programas antivirus se refieren a los virus Sality por otros nombres como SaILoad, SaliCode, Kookoo y Kukacka.
Cómo funciona
Como se mencionó anteriormente, el malware Sality infecta archivos ejecutables en la computadora infectada.
La mayoría de las versiones de malware ponen un archivo DLL especial en la computadora dentro de la %SISTEMA% carpeta y podría llamarlo "wmdrtc32.dll" o, para la versión comprimida, "wmdrtc32.dl_".
Sin embargo, no todas las variantes del virus Sality utilizarán un archivo DLL de esta manera. Algunos cargan el código directamente en la memoria, y el archivo DLL no se encontrará en ningún lugar dentro de los archivos de disco reales.
Otros incluso pueden almacenar un controlador de dispositivo en el % SYSTEM% drivers carpeta. Lo que hace que esto sea difícil es que podría almacenarse con un nombre de archivo aleatorio, por lo que si su software antivirus solo lee los nombres de los archivos para verificar si hay virus, y no el contenido del archivo, es muy probable que no detecte el virus Sality. .
Las actualizaciones del malware Sality se alimentan a través de HTTP a través de listas descentralizadas de URL. Una vez infectado, el malware solo necesita solicitar actualizaciones tras bambalinas para transformarse y crecer por sí solo, para descargar nuevos archivos para infectar otras computadoras.
Signos de infeccion
Es importante estar al tanto de los síntomas de una infección por el virus de la salidad: lo que podría hacer su computadora o cómo podría funcionar cuando está presente el virus de la salinidad.
Al igual que con muchos otros programas maliciosos, Sality podría hacer lo siguiente:
- Deshabilite el software antivirus y evite el acceso a ciertos sitios web antivirus y de seguridad.
- Evitar el arranque en modo seguro.
- Elimine archivos, procesos y / o servicios relacionados con la seguridad.
- Almacene un archivo CMD, PIF y / o EXE en la raíz de las unidades detectables, junto con un archivo autorun.inf que contiene instrucciones para cargar los archivos eliminados cuando se accede a la unidad.
- Envíe spam a sus contactos de correo electrónico accediendo a la libreta de direcciones de su cliente de correo electrónico.
- Eliminar archivos que contienen una cierta extensión de archivo.
Cómo borrar
La mejor manera de prevenir una infección por el virus Sality es mantener su computadora actualizada con los últimos parches y definiciones de seguridad. Use Windows Update y mantenga actualizado su software antivirus para ayudar a frustrar este ataque.
Si ya sabe que tiene el virus Sality, puede deshacerse de él de una manera similar. Analice su computadora en busca de malware con un programa de software antivirus actualizado y capaz. Es posible que tenga suerte con un removedor de spyware para detectar el virus Sality, ya que también funciona como spyware. Si esos no funcionan o si no tiene acceso regular a Windows, use un programa antivirus de arranque.
Algunos proveedores de antivirus incluyen una herramienta especial diseñada específicamente para tratar con el virus Sality. Por ejemplo, AVG ofrece un popular programa antivirus gratuito, pero también incluyen Sality Fix, que puede descargar de forma gratuita para eliminar el virus Sality automáticamente. Kaspersky le permite utilizar la herramienta gratuita SalityKiller.
Si se encuentra que un archivo está infectado con Sality, permita que el software limpie el archivo. Si se encuentra otro malware, intente eliminar el virus o realizar la acción recomendada por el escáner.
Algunos programas antivirus pueden no detectar el virus Sality. Si sospecha que tiene el virus pero su software de seguridad no lo encuentra, intente cargarlo en VirusTotal para realizar un análisis en línea con varios motores de análisis.
Otra opción es eliminar manualmente los archivos de virus buscando en la computadora con una herramienta de búsqueda de archivos como Everything. Sin embargo, existe una buena posibilidad de que los archivos estén bloqueados por el uso y no puedan eliminarse de manera normal. Por lo general, los programas antivirus pueden evitarlo programando la eliminación del malware cuando se apaga la computadora.
Qué hacer a continuación
Si está seguro de que el virus Sality se ha eliminado, debería considerar la desactivación de la ejecución automática para evitar una nueva infección a través de unidades USB.
También es importante cambiar las contraseñas de las cuentas en línea que usó durante el tiempo de la infección. Si el virus Sality estaba registrando las pulsaciones de su teclado, es muy probable que registre su información bancaria, credenciales de redes sociales, contraseña de correo electrónico, etc. Cambiando esas contraseñas ( después de que la infección haya desaparecido ) y revisar sus cuentas por robo es un paso importante.
Instale un programa antivirus siempre encendido, siempre actualizado y fácil de usar para que sea menos probable que esto vuelva a suceder. Asegúrese de que pueda comprobar si hay malware en las unidades extraíbles y configurar análisis programados para verificar periódicamente si hay malware de todos los tipos, no solo el virus Sality.
