Powrót groźnego wirusa

Laboratoria antywirusowe firmy ESET zwracają uwagę, że Win32/Sality jest zagrożeniem polimorficznym, tzn. takim, które z każdą kolejną wersją mutuje, tak aby zmylić programy antywirusowe i uchronić się przed wykryciem. Oszukać nie dają się rozwiązania firmy ESET, które chronią przed tym zagrożeniem. Win32/Sality po przedostaniu się do komputera użytkownika przeszukuje lokalne i sieciowe dyski w poszukiwaniu plików z rozszerzeniami EXE oraz SCR. Gdy takowe znajdzie, infekuje je dodając do nich swój złośliwy kod.

Win32/Sality dodaje w rejestrze wpis, dzięki któremu uruchamia się każdorazowo przy starcie systemu i dodatkowo dezaktywuje procesy powiązane z programami zabezpieczającymi system przed zagrożeniami, przez co aplikacje antywirusowe oraz firewallowe przestają zapewniać użytkownikowi należytą ochronę. Zagrożenie identyfikuje i usuwa z dysku pliki z rozszerzeniami VDB oraz AVC.

Jednym z zauważalnych objawów infekcji Win32/Sality może być malejąca ilość wolnego miejsca na dysku twardym i spowolnienie pracy komputera. Wszystko z powodu przyrostu wagi zainfekowanych tym zagrożeniem plików. Niestety leczenie nie zawsze jest proste i przy rozległych infekcjach formatowanie zainfekowanego dysku może okazać się jedynym ratunkiem.

Wśród miejsc, w których Win32/Sality ukrywa się najczęściej specjaliści z laboratoriów antywirusowych firmy ESET wymieniają nośniki wymienne, załączniki poczty elektronicznej, witryny internetowe o wątpliwej reputacji oraz pliki udostępniane za pośrednictwem P2P. Ci sami specjaliści pytani o skuteczny sposób ochrony przed Win32/Sality przypominają podstawowe zasady bezpieczeństwa:

- unikaj otwierania plików dodawanych do wiadomości pochodzących od nieznanych adresatów, wystrzegaj się podejrzanych stron internetowych i nielegalnych kopii programów,

- korzystaj w Windows z profilu użytkownika bez uprawnień administratora,

- dbaj o aktualizację systemu operacyjnego, programu antywirusowego oraz zapory osobistej.

Na szczycie kwietniowego raportu przygotowanego przez laboratoria antywirusowe firmy ESET, podobnie jak w ubiegłych miesiącach, znalazł się robak internetowy Conficker - doskonale znany większości internautów. Tuż za nim uplasowała się rodzina zagrożeń INF/Autorun infekujących pliki automatycznego startu nośników. Trzecią pozycję zajął Win32/Agent, który podstępnie wykrada informacje o użytkowniku zainfekowanej maszyny. Wśród dziesięciu najczęściej atakujących zagrożeń ubiegłego miesiąca ESET wymienia również zagrożenie Win32/Spy.Ursnif.A, działające w podobny do Win32/Agent sposób.