Virus Sality

         

   Có thể nói đây là dòng virus nổi tiếng, Nó được xếp hạng là loại virus nguy hiểm nhất trong vài năm trở lại đây. Hiện nay nó đã lây nhiễm hầu hết các máy tính ở các quán, các điểm truy cập internet công cộng. Tốc độ lây nhiễm của nó rất đáng kinh ngạc, Nếu máy bạn bị nhiễm, Bạn ghost (cài win) lại và chỉ cần 10 phút sau, HĐH mới của Bạn đã bắt đầu gặp những sự cố mà do nó gây ra. Đặc biệt, virus này có khả năng biến thể kỳ lạ, nó có thể tự thay đổi để thích nghi với môi trường mới trên máy tính của Bạn! 

      Nó có rất nhiều biến thể với nhiều tên gọi khác nhau như: Sality, Win32/Sality, Sality.AA, Sality.AE, Sality.AH, Sality.AM, Sality.AR, Sality.OG....  là 1  dạng virus lây file đa hình và rất phức tạp, nó bao gồm cả chức năng backdoor và keylock. một khi máy Bạn đã nhiễm Sality thì rất khó diệt, Nếu dùng các phần mềm diệt virus để diệt thì hầu hết các file thực thi như exe, msi,dll... đều hỏng không dùng được, và xác suất máy Bạn phải cài lại và mất dữ liệu là rất cao.

• Các thức lây nhiễm:

        Sality lây nhiễm trên hầu hết tất cả các hệ điều hành thông qua mạng Internet, mạng LAN. nó lây lan bằng cách nhiễm vào các tệp tin “.exe” trên tất cả các phân vùng ổ đĩa bao gồm cả explorer.exe, uninstall.exe...Một số các tệp tin ứng dụng “.exe” khi bị nhiễm vẫn có thể chạy, nhưng khi chạy chúng sẽ kill các tiến trình đang chạy của những ứng dụng khác hoặc hiển thị các thông báo lỗi. Chúng lây nhiễm tới tập tin “.com”, “.src” và “.dll” trên thư mục Windows thông qua thành phần autorun lây lan từ ổ đĩa rời. Sality sử dụng kỹ thuật Trojan để tải xuống các phần mềm độc hại. Sau khi lây nhiễm, chúng lập tức tấn công vô hiệu hóa các cảnh báo từ trung tâm bảo mật Windows, khóa Task manager, Registry editor, làm mất chức năng hiển thị các file ẩn. Chúng vượt qua hệ thống tường lửa, ngăn cản sự hoạt động của các phần mềm Antivirus, nếu hoạt động được thì không thể phát hiện ra virus Sality hoặc phát hiện ra nhưng không thể diệt được. Sality chặn việc truy nhập vào những trang web bảo mật, đồng thời không cho phép người dùng khởi động từ chế độ Safe Mode. Khi cắm USB vào máy tính, nó sẽ tự tạo file autorun.inf ngẫu nhiên. 
       Sality giống như một keylogger, thực hiện đánh cắp tên người dùng và mật khẩu sau đó truyền những thông tin này cho một bên thứ ba. Sality cũng như Backdoor mở cửa sau cho tin tặc tấn công từ xa đoạt quyền điều khiển các máy tính bị nhiễm, thực hiện những hoạt động bất hợp pháp. 
Sality thực sự là một mối đe dọa nguy hiểm, chúng thường xuyên sản sinh các biến thể mới theo định kỳ. Ngoài ra, tác giả Sality có xu hướng sẽ tiếp tục tạo ra nhiều phần mềm độc hại phức tạp hơn nữa. 

• Dấu hiệu máy dính sality:

        Có rất nhiều dấu hiệu để xác định rằng máy Bạn đã nhiễm Sality, nhưng để đơn giản với tất cả các Bạn mình sẽ chỉ nêu ra một số các triệu chứng như sau:

• Triệu chứng đầu tiên là Task Manager bị ẩn: Các Bạn Click chuột phải vào thanh Taskbar nhìn vào Task manager thấy nó bị ẩn. 

• Bạn vào RUN (WINDOWS + R) gõ: regedit để vào regitry
• Một hộp thoại hiện ra không cho bạn vào regitry. Thông báo này cũng tương tự như khi Bạn nhấn vào Task manager trên.

Thông báo Task manager ( Hay Regedit) đã bị tắt bởi tài khoản Administrator (Hình bên).

• Lúc máy bị nhiễm nặng, các Bạn sẽ thấy hầu hết các phần mềm khi chạy đều bị lỗi, đang chạy dở bị tắt hoặc không chạy được, thậm chí phần mềm diệt virus cũng không chạy được, có cài cũng không cài được.

         Nói chung có thể một số phần mềm diệt virus sẽ sớm cảnh báo cho các Bạn khi máy nhiễm loại virus này, tên thì còn tùy vì dòng này có rất nhiều biến thể và cách đặt tên cho virus cũng còn tùy vào từng phần mềm, nhưng nhìn cũng sẽ có tên là sality.
         Với chừng đó yếu tố thì chúng ta đã đủ để thấy được mối hiểm họa mà máy tính đang gặp phải và tìm cách khắc phục.

Cách khắc phục:

•    Điều đầu tiên là các Bạn không được dùng bất kỳ phần mềm diệt virus nào để quét máy tính cả. Bởi sau khi quét bằng các phần mềm diệt virus thì cũng đồng nghĩa với việc dữ liệu phần mềm của Bạn sẽ bị lỗi hết, nếu nặng thì cũng có thể Bạn sẽ không vào được windows nữa do mất các file thực thi. Lúc này thì Bạn cần 1 biện pháp khác. Hiện đã có 1 số Tool chuyên biệt dùng để diệt loại virus này do 1 số hãng phần mềm Anti viết như của Kasperky hay CMC. Trong khuôn khổ bài viết mình giới thiệu các Bạn 1 tool của Kasperky là phần mềm: Sality Killer

Các Bạn download file theo link:  http://www.mediafire.com/download/wdgbdu6c82m3pbz/salitykiller.zip

        Download về được file: sality killer.rar để ở thư mục nào cũng được

      Các Bạn không nên giải nén thư mục nhé, kích đúp chuột mở luôn, chạy file: SalityKiller.exe trong thư mục nén đó.

•    Sau khi chạy thì tác vụ Task manager và regitry sẽ được phục hồi và có thể chạy lại. Các Bạn cứ để cho phần mềm chạy, cái này chỉ chạy trên nền Dos thôi, tuy nhiên cũng như các phần mềm diệt virus khác, nó sẽ khá ngồn RAM đó.
•    Các Bạn nên chạy khoảng 3-4 lần và tốt hơn hết nên chạy trên mini XP có trong đĩa Hiren'Boot ( Bởi nếu nhiễm sality thì các Bạn không thể khởi chạy Safe Mode cho Windows được) cách tạo Hiren'Boot cho Bạn nào chư biết thì xem tại đây.

    Cuối cùng các Bạn chọn 1 phần mềm anti nào đó hay dùng, cài lên và quét lại cho sạch máy.
    Toàn bộ quá trình thực hiện có thể mất lâu hay mau tùy cấu hình máy và dung lượng ổ cứng, kiên trì làm nhiều lần với tool diệt sality các Bạn sẽ diệt được sạch sẽ loại virus này và mang lại sự ổn định cho máy và sự an tâm cho người sử dụng.
    Bạn nào không làm được hay có bất kỳ thắc mắc nào commnents trực tiếp mình giúp đỡ nhé.. Bài viết bản quyền bởi blog http://ittxq.blogspot.com/ . Chúc các Bạn có những trải nghiệm thú vị! hãy like động viên và chia sẻ nếu thấy hữu ích nhé!