Information Influx
MENU
Sécurité
Identifier le but du virus Sality et voir comment l’éradiquer

Identifier le but du virus Sality et voir comment l’éradiquer

By smartuser
17 mai 2019
2125

Sality est une famille de logiciels malveillants infectant les fichiers qui affectent les ordinateurs Windows en répandant les infections par le biais des fichiers EXE et SCR.

Sality, qui a peut-être débuté en Russie à l’origine, a beaucoup évolué au fil des ans, de sorte que les différentes variations des logiciels malveillants présentent des caractéristiques différentes. Cependant, la plupart des variantes de Sality sont des vers en ce sens qu’elles utilisent une certaine forme de fonctionnalité d’exécution automatique pour infecter les fichiers exécutables via des lecteurs amovibles ou détectables.

Lire également : Les dernières tendances en matière de sécurité informatique pour protéger votre entreprise

Certains sont même des botnets de Sality qui relient les machines infectées à son propre réseau P2P afin que l’ensemble des ordinateurs facilite le vol de données privées, le piratage des mots de passe, l’envoi de spam, etc.

Le virus Sality peut également inclure un programme de téléchargement de chevaux de Troie qui installe des logiciels malveillants supplémentaires via Internet, et un enregistreur de frappe qui surveille et enregistre les frappes au clavier.

A découvrir également : Comprendre le fonctionnement de mon portail Securitas

Note : certains programmes antivirus désignent les virus de Sality par d’autres noms comme SaILoad, SaliCode, Kookoo et Kukacka.

Comment ça marche

Comme mentionné ci-dessus, le malware de Sality infecte les fichiers exécutables sur l’ordinateur infecté.

La plupart des versions du logiciel malveillant placent un fichier DLL spécial sur l’ordinateur dans le dossier %SYSTEM% et peuvent l’appeler “wmdrtc32.dll” ou, pour la version compressée, “wmdrtc32.dl_”.

Cependant, toutes les variantes du virus Sality n’utilisent pas un fichier DLL de cette façon. Certains chargent le code directement en mémoire, et le fichier DLL ne se trouve nulle part dans les fichiers du disque.

D’autres peuvent même stocker un pilote de périphérique dans le dossier %SYSTEM%\drivers. Ce qui rend celui-ci difficile, c’est qu’il peut être stocké avec un nom de fichier aléatoire, donc si votre logiciel antivirus ne lit que les noms de fichier pour vérifier la présence de virus, et non le contenu du fichier, il y a de fortes chances qu’il ne détecte pas le virus Sality.

Les mises à jour des logiciels malveillants de Sality sont transmises par HTTP via des listes d’URL décentralisées. Une fois infecté, le logiciel malveillant n’a qu’à demander des mises à jour en arrière-plan pour se transformer et se développer par lui-même, pour télécharger de nouveaux fichiers et infecter d’autres ordinateurs.

Les signes d’infection

Il est important d’être conscient des symptômes d’une infection par le virus Sality, de ce que fait votre ordinateur ou comment il peut fonctionner en présence du virus Sality.

Comme pour beaucoup d’autres logiciels malveillants, Sality peut faire l’une des choses suivantes :

  • Désactivez les logiciels antivirus et empêchez l’accès à certains sites Web antivirus et de sécurité ;
  • Empêchez le démarrage en mode sans échec ;
  • Supprimer les fichiers, processus et/ou services liés à la sécurité ;
  • Stockez un fichier CMD, PIF et/ou EXE à la racine des lecteurs découvrables, ainsi qu’un fichier autorun.inf qui contient des instructions pour charger les fichiers déposés lorsque le lecteur est ouvert ;
  • Envoyez des spams à vos contacts e-mail en accédant au carnet d’adresses de votre client de messagerie ;
  • Supprimer les fichiers qui contiennent une certaine extension de fichier.

Comment le supprimer

La meilleure façon de prévenir une infection par le virus Sality est de garder votre ordinateur à jour avec les derniers patchs et définitions de sécurité. Utilisez Windows Update et gardez votre logiciel antivirus à jour pour contrecarrer cette attaque.

Si vous savez déjà que vous avez le virus Sality, vous pouvez vous en débarrasser de la même manière. Analysez votre ordinateur à la recherche de logiciels malveillants à l’aide d’un logiciel antivirus mis à jour et performant. Vous pourriez avoir de la chance en utilisant un “spyware remover” pour intercepter le virus Sality puisqu’il fonctionne aussi comme spyware. Si cela ne fonctionne pas ou si vous n’avez pas un accès régulier à Windows, utilisez plutôt un programme antivirus amorçable.

Certains fournisseurs d’antivirus incluent un outil spécifique spécialement conçu pour traiter le virus Sality. Par exemple, AVG propose un programme antivirus gratuit populaire, mais il inclut également Sality Fix que vous pouvez télécharger gratuitement pour supprimer automatiquement le virus Sality. Kaspersky vous permet d’utiliser l’outil gratuit SalityKiller.

Si un fichier est infecté par Sality, autorisez le logiciel à le nettoyer. Si d’autres logiciels malveillants sont détectés, essayez de supprimer le virus ou de prendre les mesures recommandées par l’analyseur.

Certains programmes antivirus peuvent ne pas détecter le virus Sality. Si vous soupçonnez que vous avez le virus mais que votre logiciel de sécurité ne le trouve pas, essayez de faire un scan en ligne sur VirusTotal à l’aide de différents moteurs de scan.

Une autre option consiste à supprimer manuellement les fichiers de virus en effectuant une recherche sur l’ordinateur à l’aide d’un outil de recherche de fichiers comme Everything. Cependant, il y a de bonnes chances que les fichiers soient verrouillés et ne puissent pas être supprimés de façon normale. Les programmes antivirus peuvent généralement éviter cela en programmant la suppression du logiciel malveillant lorsque l’ordinateur est éteint.

Ce qu’il faut faire ensuite

Si vous êtes sûr que le virus Sality a été supprimé, vous devriez envisager de désactiver l’autorun pour empêcher une réinfection via des clés USB.

Il est également important de changer les mots de passe de tous les comptes en ligne que vous avez utilisés pendant l’infection. Si le virus Sality enregistrait vos frappes, il y a de fortes chances qu’il ait enregistré vos informations bancaires, vos identifiants de médias sociaux, votre mot de passe e-mail, etc. Changer ces mots de passe (après la disparition de l’infection) et vérifier si vos comptes sont piratés est une étape importante.

Installez un programme antivirus toujours activé, toujours à jour et facile à utiliser afin de réduire les risques que cela se reproduise. Assurez-vous qu’il peut vérifier la présence de logiciels malveillants sur les disques amovibles et configurer des analyses planifiées pour vérifier périodiquement la présence de tous les types de logiciels malveillants, et pas seulement du virus Sality.

Article précédent

Comment faire des appels téléphoniques gratuits avec ...

Article suivant

Le Link Building

Articles similaires

Informations Influx © 2019