Win32.vality.OG là một loại phần mềm độc hại có khả năng vô hiệu hóa các công cụ quản lý hệ thống quan trọng như Task Manager và Registry Editor. Nó lây lan rất nhanh chóng qua các tập tin thực thi (.exe), do đó việc sử dụng các biện pháp bảo vệ phù hợp là vô cùng cần thiết khi máy tính bị nhiễm phải loại virus này.
Virus Sality, với nhiều biến thể khác nhau như Sality, Win32/Sality, Sality.AA, Sality.AE, Sality.AH, Sality.AM, Sality.AR, Sality.OG, được đánh giá là một mối đe dọa nghiêm trọng, thậm chí còn nguy hiểm hơn cả đại dịch Conficker. Sality là một loại virus lây nhiễm file đa hình, có cấu trúc phức tạp, tích hợp cả chức năng backdoor và keylogger.
Khả năng lây lan mạnh mẽ và mức độ nguy hiểm cao đã khiến Sality được các công ty bảo mật xếp hạng là một trong những virus nguy hiểm nhất trong thời gian gần đây. Việc loại bỏ hoàn toàn virus Sality khỏi máy tính có thể gặp nhiều khó khăn. Để tránh tình trạng virus tái phát sau khi diệt, CMC InfoSec đã phát triển một công cụ chuyên dụng với cơ chế làm sạch file nhiễm, đảm bảo các chương trình vẫn hoạt động bình thường sau khi quét.
Sality có khả năng lây nhiễm trên hầu hết các hệ điều hành thông qua mạng Internet và mạng LAN. Virus này xâm nhập vào các tệp tin “.exe” trên tất cả các phân vùng ổ đĩa, bao gồm cả các file hệ thống như explorer.exe và uninstall.exe.
Một số ứng dụng “.exe” khi bị nhiễm vẫn có thể chạy, nhưng chúng có thể gây ra các sự cố như tắt các tiến trình đang chạy của các ứng dụng khác hoặc hiển thị các thông báo lỗi. Sality cũng lây nhiễm vào các tệp tin “.com”, “.src” và “.dll” trên thư mục Windows thông qua thành phần autorun lây lan từ các thiết bị lưu trữ di động.
Sality sử dụng kỹ thuật Trojan để tải xuống các phần mềm độc hại khác. Sau khi xâm nhập vào hệ thống, virus này sẽ tấn công và vô hiệu hóa các cảnh báo từ Windows Security Center, khóa Task Manager và Registry Editor, đồng thời ngăn chặn việc hiển thị các file ẩn.
Virus còn vượt qua tường lửa, cản trở hoạt động của các phần mềm diệt virus, khiến việc phát hiện và loại bỏ trở nên khó khăn hơn. Sality chặn truy cập vào các trang web bảo mật và ngăn người dùng khởi động máy tính ở chế độ Safe Mode. Khi kết nối USB, virus sẽ tự động tạo file autorun.inf ngẫu nhiên.
Sality hoạt động như một keylogger, đánh cắp thông tin đăng nhập của người dùng (tên người dùng và mật khẩu) và gửi dữ liệu này cho bên thứ ba. Đồng thời, virus cũng mở backdoor, cho phép tin tặc xâm nhập và điều khiển máy tính từ xa để thực hiện các hành vi bất hợp pháp.
Sality liên tục tạo ra các biến thể mới, do đó việc cập nhật thường xuyên các biện pháp bảo vệ là rất quan trọng. Tác giả của virus này cũng có xu hướng phát triển các phần mềm độc hại phức tạp hơn nữa.
Để bảo vệ máy tính, hãy thực hiện các biện pháp sau:
13 nhận xét
Windows
