GETOVERX FORUM Community Support   ›   Malware Docs   ›   Virus   ›   Virus Sality

  • 1 Vote(s) - 4 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Virus Sality
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 143

Reputation: 11
#1
11-29-2025, 03:32 PM (This post was last modified: 12-07-2025, 03:20 PM by mrwebfeeder.)
Nombre: Win32.Sality

Categoría: Virus de archivos polimórfico

Fecha de descubrimiento: 2003

Comportamiento (lo que hace y archivos que infecta):
- Infecta ejecutables PE en Windows, principalmente archivos .exe y .scr.
- Inyecta código malicioso en los binarios infectados para ejecutarse cada vez que se abre el programa.
- Se replica en el sistema a medida que el usuario ejecuta programas legítimos contaminados.
- Algunas variantes descargan payloads adicionales (troyanos, backdoors, spambots) desde servidores remotos.
- Puede desactivar funciones de seguridad del sistema (antivirus, firewall nativo, actualizaciones) para facilitar la propagación.

Persistencia:
- Crea servicios o procesos residentes en memoria para asegurar su ejecución continua.
- Modifica claves de registro de inicio automático para ejecutarse al arrancar Windows, por ejemplo:
Code:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\svchost.exe
- Puede modificar permisos o atributos de archivos para dificultar su eliminación.

Hash real de referencia (SHA-256):
- Ejemplo de hash de una muestra pública:
Code:
2b7e4ddedba4b6eddb5ac7f075444ef98a32956543d4eaec2e8e1bc5276b288a

Mitigación con GetOverX Shield 3.0.2.0 o Superior:
  • Antivirus:
    - Ejecutar un escaneo completo del sistema, incluyendo unidades internas y externas.
    - Cuarentenar o eliminar todos los ejecutables contaminados por Sality.
    - En el caso de aplicaciones críticas infectadas, reinstalar desde medios oficiales o copias de seguridad limpias.
    - Repetir el escaneo tras la limpieza y antes de reconectar unidades USB o de red.

  • Firewall:
    - Bloquear conexiones salientes sospechosas asociadas a descarga de payloads o comunicación con C2.
    - Restringir temporalmente el acceso a Internet del equipo infectado mientras se completa la erradicación.
    - Opcionalmente, aislar el host en una red separada (VLAN) hasta confirmar que la infección fue eliminada.

  • HIPS / EDR:
    - Crear reglas de comportamiento que alerten o bloqueen:
    - Procesos que comiencen a modificar múltiples ejecutables .exe y .scr.
    - Creación o modificación de servicios y claves Run sospechosas en el registro.
    - Intentos de desactivar procesos de seguridad (antivirus, firewall, actualizaciones).
    - Habilitar respuesta automática (bloquear y registrar) ante actividad típica de infector de archivos.

  • Sandbox:
    - Ejecutar en Sandbox cualquier archivo sospechoso proveniente de:
    - Sitios de descarga no confiables.
    - “Cracks”, keygens y activadores de software.
    - Observar si el binario intenta:
    - Infectar otros ejecutables del entorno.
    - Crear servicios persistentes.
    - Conectarse a dominios o IPs desconocidos para descargar más código.

  • Secure Erase / Limpieza avanzada:
    - Aplicar borrado seguro en:
    - Muestras de Sality almacenadas para análisis.
    - Copias de “cracks” o instaladores que sirvieron como vector de infección.
    - En infecciones graves y generalizadas, valorar un formateo controlado del sistema tras respaldar solo datos estrictamente necesarios y previamente escaneados.

  • Medidas posteriores al incidente:
    - Verificar y restaurar (o eliminar) las claves de registro de inicio automático modificadas por el malware.
    - Revisar el estado de las soluciones de seguridad y reinstalarlas si fuera necesario.
    - Actualizar todos los sistemas a versiones soportadas, con parches de seguridad al día.
    - Implementar políticas internas que prohíban el uso de software pirata, cracks y keygens.
    - Reforzar el esquema de copias de seguridad periódicas (idealmente offline) y pruebas de restauración.

Notas opcionales:
- Win32.Sality es una familia ampliamente documentada de virus polimórficos de archivos que ha tenido numerosas variantes capaces de instalar troyanos, rootkits y componentes de botnet.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)