Ojo con el Virus.Win32.Sality.aa y sus variantes

Hola a todos! hace un par de días que vengo reparando pc's con este tipo de virus (Virus.Win32.Sality.aa). Hace poco que apareció.

Básicamente se propaga infectando otros archivos, normalmente ejecutables, y que permite además a otro usuario acceder de forma no autorizada al ordenador infectado.
estas extenciones son las que contamina este bicho(.EXE, .SCR, .DLL).

El virus intenta desactivar procesos y servicios que contienen cadenas correspondientes a los principales antivirus.
Para verificar la conexión a Internet el virus se conecta a:

http://www.microsoft.com

El virus se conecta a diferentes direcciones para descargar otro software maliciosos, y el software que descargan de esas direcciones se desencripta en la carpeta temporal de Windows (%temp%) y se ejecuta.

Método de Propagación

Se copia a sí mismo en las unidades extraíbles y carpetas compartidas

(nombre aleatorio).exe
(nombre aleatorio).pif
(nombre aleatorio).cmd

Crea un fichero AUTORUN.INF en cada unidad extraible en la que se copien los ficheros, de forma que al acceder a ella, se ejecute una copia del virus.

VAMOS A LOS BIFES!!!

Para solucionar el problema hago lo sgte:

1) Desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus.

2) Reinicie su ordenador en Modo Seguro o Modo a Prueba de Fallos.

3) Con un antivirus actualizado, localizar todas las copias del virus en el disco duro de su PC. Personalmente uso el KASPERSKY INTERNET SECURITY 2009, ya que otros antivirus no me dieron resultados.

Nota: A veces los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

4)Si no se puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
En el caso de que no se pueda eliminar el fichero del virus, tenes que terminar manualmente el proceso en ejecución del virus.Usando el administrador de tares. A continuación volver a intentar el borrado o reparación de los ficheros que se han creado por la acción del virus.

5) Debido a que el gusano deshabilita el acceso al editor del registro y al administrador de tareas, ejecuten los siguientes pasos para volver a habilitarlos:

ir a 'Inicio -> Ejecutar'
Escribir "cmd" -sin las comillas-
Escribir las siguientes instrucciones:

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /f

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Hay que ser extremadamente cuidadoso al manipular el registro. Si modificas ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Eliminae las siguientes entradas del registro:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings

Valor: GlobalUserOffline = 6684751
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system

Valor: EnableLUA = 6422625 (Desactiva el control de usuario en Windows Vista)
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\ StandardProfile\AuthorizedApplications\List

Valor: (Ruta del virus) = (ruta del virus):*:Enabled:ipsec
Clave: HKCU\Software\user914\1214104697

Valor: 1919251317 = 3276857
Clave: HKCU\Software\user914\1214104697

Valor: -456464662 = 3407926
Clave: HKCU\Software\user914\1214104697

Valor: 1462786655 = 3604530
Clave: HKCU\Software\user914\1214104697

Valor: -912929324 = 3735602
Clave: HKCU\Software\user914\1214104697

Valor: 1006321993 = 3342390
Clave: HKCU\Software\user914\1214104697

Valor: -1369393986=0600687474703A2F2F7777772E6D7573696B72616A742E736B2F6D61696
E662E67696600687474703A2F2F6D616365646F6E69612E6D79312E7275
2F6D61696E682E67696600687474703A2F2F6A7273782E6A7265
2E6E65742E636E2F6C6F676F732E67696600687474
Clave: HKCU\Software\user914\1214104697

Valor: 549857331 = 865E52A75BF33F5D5AA15DAFA722193EDDA8540E6C496C04CF49
2EF296AFD1AFD
EDBC79CEA25E0F6F53B2D9CC0FA963F3A4CC7456
15E85AFE1E18AEA7E620D11174F3892E84
B5B5DD288784938E304B2D65C454E833D6AF929
809110987E5B4B3E4D581071DA4948CB9F84
Clave: HKCU\Software\user914

Valor: u1_0 = 655360
Clave: HKCU\Software\user914

Valor: u2_0 = 655360
Clave: HKCU\Software\user914

Valor: u3_0 = 655360
Clave: HKCU\Software\user914

Valor: u4_0 = 655360
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: EnableFileTracing = 7471188
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: EnableConsoleTracing = 7471188
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: FileTracingMask = 7209065
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: ConsoleTracingMask = 7209065
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: MaxFileSize = 7077993
Clave: HKLM\Software\Microsoft\Tracing\FWCFG

Valor: FileDirectory = %windir%\tracing
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile

Valor: EnableFirewall = 7471209
Clave: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile

Valor: DoNotAllowExceptions = 7340133
Clave: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Valor: Hidden = 4718592
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system

Valor: DisableTaskMgr = 6357076
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system

Valor: DisableRegistryTools = 7929970
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: AntiVirusOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: AntiVirusDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: FirewallDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: FirewallOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: UpdatesDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center

Valor: UacDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: AntiVirusOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: AntiVirusDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: FirewallDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: FirewallOverride = 6619254
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: UpdatesDisableNotify = 5111909
Clave: HKLM\SOFTWARE\Microsoft\Security Center\Svc

Valor: UacDisableNotify = 5111909

6) Eliminar todos los archivos temporales del ordenador, incluidos los archivos temporales del navegador, vacíe también la Papelera de reciclaje.

7) Reiniciar el sistema y explorar todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivaste la restauración del sistema, recordá de volver a activarla. Creá un punto de restauración, te será útil para recurrir a él en caso de posibles infecciones o problemas en el futuro.

PD: Es conveniente que pasen también un antispyware, yo uso del SPYWARE DR y el AD-AWARE. por si las moscas!! .

ESPERO QUE LES SEA DE UTILIDAD; SALUDOS Y BUENA SUERTE!!

Fuentes de Información - Ojo con el Virus.Win32.Sality.aa y sus variantes

Dar puntos
168 Puntos
Votos: 26 - T!score: 6.5/10
  • 10 Seguidores
  • 81.536 Visitas
  • 91 Favoritos

62 comentarios - Ojo con el Virus.Win32.Sality.aa y sus variantes

@Cronopiocabron Hace más de 5 años -12
g0nzax14 dijo:Ojo con el Virus.Win32.Sality.aa y sus variantes

Es la nueva novedad en Smf con su nueva v3.1!

www.fueradetema.*** - Una comunidad que crece dia a dia..

Sabes de programacion, php, html, diseño web? Unite a la web..

y con el tiempo y unas pruebas podes formar parte del staff.

Fuera de Tema, v3.1.


QUE ES ??? UN CLON DE TARINGA !!!??????
@javos_189 Hace más de 5 años
gracias man... a mi me entro como chango y me hiso mierda todos los .dll de los archivos que se estaban ejecutando, incluyendo los del Nero y demás... estos se podran recuperar de alguna forma? uso Avira Antivir Premium... de mas esta decir q re caliente porq con semejante antivirus se metio igual

otra cosa, los valores de registro a los que le pones un \"=\"... hay que cambiarles el valor q tienen por ese? o eliminarlos? porq no encontre relacion con ningun numero de los que pusiste, por eso te pregunto si hay q reemplazarlos por eso...

sin mas me despido...

un abraso

gracias por el aporte
@ottoloco69 Hace más de 5 años
probando todo a ver que pasa , se me infecto con un pen la maquina mientras estaba tocando , alto bardo me empeso a tirar error \"error r6002 runtime error floating point support not loaded\" en casi todos los programas , algun anti-algo para limpiar los pen o mp3 ? gracias , muy buen post
@xxpeponxx Hace más de 5 años
Tons io creo q ia jui porque a mi se me entro en una computadora que esta cero antivirus que solucion habria o es directo formatearla ?
@Eldiez777 Hace más de 5 años
Gracias Men, necesitaba ese tuto
@matv77 Hace más de 4 años
grosso yo estoy infectado en este momento O_O capturando las copias ke hace este bicho...pero llegue un poco tarde ya me mato 3 games...y continua....pero lo tengo dominado (o casi ) logre el acceso al administrador y al regedit..y no permiti ke se conectara a naaa lo fui blokeando con los firewall y no hace copias ni nada a las unidades usb...pero el muy hdp se sigue copiando recomiendo esta tool ayuda mucho en emergencias (post original) http://www.marcelovega.com/blog/para-cuando-un-virus-deshabilita-el-registro-el-administrador-de-tareas-ejecutar-oculta-archivos-etc/ yo estoy con el sality.Nat feo bicho...guarda gente
@matv77 Hace más de 4 años
matv77 dijo:grosso yo estoy infectado en este momento O_O capturando las copias ke hace este bicho...pero llegue un poco tarde ya me mato 3 games...y continua...

Bueno tras como 2 hs de pelea con el bicho ke por mala liga lo agarre cuando ya se había propagado significativamente eh logrado detener su avance y solo quedan unos pocos vestigios de infección pero nada preocupante..te agradezco los datos del post (auke me saltee gran partew )es muy buena info...ahora no se si instalar lo que perdí (fueron 5 juegos y 15 programas inclusive Winrar O_O) en el windows vista ultimate este que ya tiene como 6 meses o tirarme al agua con W7...en fin seguro que a una trojada de gente le viene de pelos este posts un abrazo grande..a PD: lo termine e matar con: SUPERAntiSpiware y Esset NOD 32 Antivirus (actualizado a la fecha) mepa ke me voy para 7 jojojo
@nosgothsinlimites Hace más de 4 años
muy bueno tu post compañero pero me gustaria hacerte una pregunta yo uso el kis 7 y en el informe de detectados me aparecen unos win32 pero me los pone como no encontrado y otro como detectado, mi preocupacion es que no aparecen como eliminados como los demas ¿como hago para eliminarlos?


desde muchas gracias
@kanuvar Hace más de 4 años
Exelente post!!! buenisimo los comandos para editar la registry! pero como en mi caso tuve un 2003 server infectado y no me dejaba editarlo por políticas de seguridad para que tuve que utilizar esta herramienta muy practica http://www.dougknox.com/security/scripts_desc/regtools.htm en un script de visual que te habilita la edicion otras, maquinas con solo los comandos que pasaste anda! Otra cosa gente no se maten con los antivirus usan esta herramienta de AVG que hicieron para sacar estos bichitos OJO no repara la registry asi que tu tutorial me sigue salvando el cuero!!!
@kanuvar Hace más de 4 años +1
OOpsss! me olvide el link del avg removal
http://www.avg.com/us-en/virus-removal.ndi-67769
re practico hasta podes reiniciar la maquina y se ejecuta solo al inicio antes de que levante el bicho

saludos
Kanu
@npyota2 Hace más de 4 años
buena info, voy a probar.
Para completar el post te paso esta data, ya que no podia acceder al modo a prueba de fallas:
Bue, mejor dicho te paso el link:
http://www.forospyware.com/t94506-2.html#post411708
@Matias174 Hace más de 4 años
@Matiasssb Hace más de 4 años +1
weee qe bronca es mucho y apenas entiendo :S
@lei_wong Hace más de 4 años
es virus es re-picante y para entrar al registro para borrar entradas no tenes que ingresar con la clave "cmd" sino con "regedit"

S@7U2
@HELl0S Hace más de 4 años
"http://fueradetema.*** está solicitando un nombre de usuario y una contraseña. El sitio dice: "root""
@Keptchupt Hace más de 4 años
utilicen el sality killer o remover, algo así, que es una herramienta de AVG. y además AVG y panda 2010 lo limpian efectivamente.

@Cazador77 Hace más de 4 años
Hey viejo, por qué no te creás un .bat con esas instrucciones y así sería más rápido eliminar todo eso...
@manola_12 Hace más de 4 años
aca en taringa estan posteando un supuesto programa para ver canales de tv en la pc que trae este virus, todos los post en el que lo postean "casualmente" tienen los coment cerrados.. ya denuncie varios pero no me dieron bola..

no sabes si hay alguna comunidad para denunciar cosas asi'?
@kopersv100 Hace más de 4 años
BUEN POST Y CERO PUNTOS.COMO TANTO
@t_opineytor Hace más de 4 años
te queria preguntar si el spywareterminator tambien sirve
@DnasKciuq Hace más de 4 años
Buena data pero Como mierda contraen el virus? bajando archivos ejecutables, no?
@1000lalo1000 Hace más de 4 años +2
che como entra el biche este a la p.c.? por medio de mails? gta 4 de 2 mb? por el msn? o como?
@ICE_U Hace más de 4 años
este virus es terrible yo ahora mismo voy a darle un formato completo a la PC de mi amigo ya que no hay remedio es un rompe pelotas este bicho de mierda , ni el kaspersky ni ningún antivirus lo repara creo que ya esta demasiado infectado esta PC así que mejor darle vuelta a todos los discos
@Mitius Hace más de 3 años
acabo de formatear x culpa de este virus!!!
@felipevz Hace más de 3 años
Hola amigo necesito ayuda, me entro este virus y formatee todo el equipo y la Bios, pero resulta que no me deja instalar ningún sistema operativo de Windows XP, solo vista o 7 cual puede ser el problema?
@vitro5150 Hace más de 3 años
felipevz dijo:Hola amigo necesito ayuda, me entro este virus y formatee todo el equipo y la Bios, pero resulta que no me deja instalar ningún sistema operativo de Windows XP, solo vista o 7 cual puede ser el problema?


Formatear la BIOS????? No sera Flashear la BIOS???
No te deja instalar xp, probaste con algun xp desantendido? uE7 o Guanaco 2009.1????
@pako1pakito2 Hace más de 3 años
no tenes un bat?? para hacer todo esto.. RESPUESTA POR MP
@germangelv Hace más de 3 años +2
me tiene podrido el sality sus variantes y mis putos clientes que lo bajan como si fuera una golocina y yo como un puto intentando recuprarles los programas
@juanctkc Hace más de 3 años
mi guia estaba mejor, pero van dos veces que la borran de taringa. sorry.
@juanctkc Hace más de 3 años
buen aporte,
mi guia estaba mejor igual jajaja, aunque me cansé de subirla porque van dos veces desaparece el post sin aviso. ¿? sorry.
@cardozo16 Hace más de 3 años
excelente de volada de algo me va a sevir a fav. y reco
@Animextremist Hace más de 3 años
excelente recomendado
@Jacksonxxx Hace más de 3 años -3
la unica solucion es formatear. Es muy molesto ese virus.
@APCtaringa Hace más de 2 años
germangelv dijo:me tiene podrido el sality sus variantes y mis putos clientes que lo bajan como si fuera una golocina y yo como un puto intentando recuprarles los programas


Usa AVG en tus maquinas y asunto arreglado... se ahogan en un vaso con agua
@APCtaringa Hace más de 2 años
Estoy buscando una aplicacion que ELIMINE este virus (que no los REPARE como el AVG) ya que este virus infecto a todos los ejecutables de una PC viejita P1 y los quiero borrar al paso y hacer lamentar la perdida de programas al cliente (programas que a mi criterio son una ...) por eso lo de ELIMINAR.

De nada sirve eleimiar las claes del registro si con el simple echo de ABRIR el WORD infectas nuevamente la PC.
@Batman13 Hace más de 2 años +1
y yo que descargué dos veces el mismo juego y seguia sin andar....ya me parecia que era a causa de un puto bicho :_
@jeffhardydela21 Hace más de 2 años
muy buena informacion porque alli andan circulando virus muy malditos que te joden la pc, los descargamos sin darnos cuenta y cuando ya estamos infestados ya es demasiado tarde
@juli_sama2 Hace más de 2 años
yo tengo este puto virus voy a intentar eliminarlo gracias por la info me podrías pasar tu facebook por mp asi si tengo algun problema en proceso te puedo pedir ayuda....devuelta muchas gracias por la info