Virus Sality

Oh bro thanapa.. Kamu bekerja dengan Symantec tapi tak tahu apa itu Sality?

Apa yang bro terangkan adalah untuk malware jenis dropper dan seangkatan dengannya.. Sality adalah sangat berlainan..

Sality adalah sejenis polymorphic virus yang inject malicious code pada setiap .exe dan .scr file yang ada dalam komputer tersebut (OS Windows sahaja). Variant terbaru Sality menggunakan "Driver" sebagai "dropper" untuk inject malicious code. Nama driver tersebut samada abp470n5 atau asc3360pr dan ianya mungkin berubah kalau ada variant yang terkini. Dan nama file bagi driver tu pula adalah random "%System%\drivers\[RANDOM NAME].sys"

Ni rujukan untuk virus Sality

http://www.symantec.com/security_response/writeup.jsp?docid=2009-041814-2904-99&tabid=2
http://vil.nai.com/vil/content/v_147094.htm

Malah jenis Sality terbaru juga membuka port tertentu untuk menghubungkan komputer tersebut kepada laman yang akan drop virus/malware yang lain.

Sebagai self-defense untuk virus ni, ia juga menghalang pengguna dari mengakses laman web antivirus dan disable beberapa fungsi penting komputer seperti regedit, safe mode, antivirus dan lain-lain.

Malah ia juga mengubah nilai pada file "win.ini" dan "system.ini"

Sila buat kajian mendalam dulu tentang sesuatu sebelum memberi maklumat yang salah. Google kan ada.

Haha, Baok..

Rilek la, jangan emo bro.. Kalu ko baca betul2 apa aku tulis, takdela ko jadi holier-than-thou camni.. Heheh

"Sila buat kajian mendalam dulu tentang sesuatu sebelum memberi maklumat yang salah. Google kan ada"

Kalu ko tak paham aper aku ckp, tanya ajela.. Aku boleh terangkan dengan lebeh terperinci. Ko kata solution aku untuk dropper aje, dan Sality nih lain, tapi lepas tu ko cakap:

"Variant terbaru Sality menggunakan "Driver" sebagai "dropper" untuk inject malicious code."

Tak ker pening orang baca..

Secara teknikalnya, orang tak payah tahu payload apa Sality nih, sebab kalau PC ko dah takleh load, pedulik aper lagi dengan payload?

Strategi yang aku beri adalah untuk menghalang reinfection selepas susah payah virus nih di buang. Maknanya, sebelum ko mulakan apa2 solution step yang diwar2kan oleh apa jua AV website yang ko masuk, ko dah buleh buangkan apa jua file yang mengakibatkan mutasi virus tuh.

Tak percaya, ko coba la cadangan aku tuh. Jangan sedap tuduh salah kalau ko tak pernah coba. Free aje, aku tak mintak royalti pon.

Barang diingat, ini bukan tool spesifik untuk Sality, tetapi pendekatan holistik membuang virus jenis dropper. Baca banyak kali kalau tak paham. Boleh tanya kat sini kalau ada soalan.

Dude.. Macam aku cakap la.. Sality ni jenis polymorphic file infector.. Tak sama macam malware jenis dropper yang kau cakap kat atas tu..

Memang Sality guna "driver" sebagai payload, tetapi bukan macam jenis dropper yang lain, hanya untuk kaut malware dari dunia internet.. Sality simply infected all PE files.. you can't remove those files, you have to "disinfect" them.. Apa kamu tak baca link yang aku beri?

Memang boleh disinfect dengan boot device seperti BartPE dan seangkatan, tapi bukan "buang"..

First step, unload dulu driver, buang dropper, edit balik system.ini, baru disinfect guna antivirus (better scan dari BartPE/similar).. Semuanya kena buat dalam sekaligus (one sweep) or the fix will fail.. Kemudian kena repair semua Registry keys/values yang telah diedit oleh Sality tu..

Since you mentioned you work for Symantec, I really want to see a proper explaination rather than "penerangan secara lepas batuk di tangga.."

Secara teknikalnya, orang tak payah tahu payload apa Sality nih, sebab kalau PC ko dah takleh load, pedulik aper lagi dengan payload?

Kalau tak tahu mana satu loader Sality, adalah hampir mustahil nak cure Sality.. Normally kalau user dalam forum kena Sality, aku hanya cadangkan reformat, kecuali kalau user tu betul2 faham apa yang dia buat..

Like I said, you said you work for Symantec, but your explaination sounds like most noobies I found on the net..

Biar aku terangkan, cara kau tu berkesan untuk malware jenis dropper dan seangkatan seperti vundo, delf, smitfraud, autorun dan sebagainya.. Tapi penerangan kau tak lengkap untuk polymorphic seperti Virut/Sality.. Tu belum masuk bab rootkit seperti TDSS dan variant.. Belum masuk lagi bab virus yang inject hanya beberapa file penting seperti ndis.sys atau lain-lain..

I know a lot people works at antivirus/antispyware industries and never found one who give sloppy explaination like you..

Saudara Baok ..

Aku ada beberapa soalan, harap2 awak boleh jelaskan beberapa perkara:

1. Virut.CE dan Sality.XX - adakah kedua-dua jenis nie mempunyai "behaviour" yang sama, maksud aku kesan "infections", "polymorphic" dsbnya.
2. Preventions - Apa langkah2 "preventions" untuk kedua-dua variant Malware nie, almaklum la sebab Malware nie berbeza dari Malware/Virus biasa yang boleh ditangani hanya dengan AV yang "updated".
3. Remover atau Healer - Ada tak specific "Remover" atau "Healer" yang boleh digunakan, atau manual procedure untuk remove atau heal "benda" nie?

Sekian, terima kasih.

Note: Aku dah baca dan Google "benda" nie, tapi soalan diatas hanyalah kerana aku nak pendapat dari awak .. tolong jawab ya

1. Virut.CE dan Sality.XX - adakah kedua-dua jenis nie mempunyai "behaviour" yang sama, maksud aku kesan "infections", "polymorphic" dsbnya.

Sality dan Virut mempunyai "behaviour" yang serupa, tapi tak sama.. Virut is more dangerous.. It "misinfect" all PE files, makes it impossible to disinfect it within Windows environment.. Some says they cure Virut through PE environment such as disinfect via Dr.Web through BARTPE, however, in the end, they will need to do repair install and reinstall back most programs due to corrupted PE files..

2. Preventions - Apa langkah2 "preventions" untuk kedua-dua variant Malware nie, almaklum la sebab Malware nie berbeza dari Malware/Virus biasa yang boleh ditangani hanya dengan AV yang "updated"

Simple, pastikan antivirus active, firewall active, dan jangan pindahkan sebarang file sebelum scan.. Contoh, scan semua pendrive sebelum double-click.. Kalau ada detect Virut/Sality, terus cabut pendrive, tak perlu nak "eject".. Then terus fullscan dan disinfect dengan antivirus..

Keygen/cracksite is a BIG NO-NO.. 70% dari victim Sality/Virut ni adalah orang yang suke download crack/keygen dari gudang site atau P2P..

3. Remover atau Healer - Ada tak specific "Remover" atau "Healer" yang boleh digunakan, atau manual procedure untuk remove atau heal "benda" nie?

Virut = nothing, the best way is always reformat.. you can try your luck scan within PE environment, but still may have to repair Windows and then do all the fussy uninstall>>reinstallation process.. In the end, reformat is the fastest way..

Sality = ada beberapa cara, tapi yang selalu aku gunakan (outside forum) ialah, boot dengan BartPE, carik dan buang driver dia, buang file payload dia (kena tengok log... you understand what I mean..).. edit balik system.ini kemudian fullscan dengan Dr.Web.. semuanya dalam BartPE environment dan semuanya dalam sekali harung... then reboot balik dalam Normal Mode dan rescan dengan antivirus (prefer a fresh Dr.Web) untuk pastikan semua trace dia hilang.. Macam biasa, rujuk log semula..

Note: Aku dah baca dan Google "benda" nie, tapi soalan diatas hanyalah kerana aku nak pendapat dari awak .. tolong jawab ya bounce

No problem, when we don't know, we ask.. Aku pun bukan tahu semua perkara...

Terima kasih bebanyak saudara Baok, Alhamdulillah, fahamlah aku sekarang

Firstly baok, aku ucap syabas untuk penerangan yangn baik drpd soalan e_sentinel tuh..

Tapi aku rasa ko macam salah frequency kot dgn aku, so biar aku explain..

baok wrote:Dude.. Macam aku cakap la.. Sality ni jenis polymorphic file infector.. Tak sama macam malware jenis dropper yang kau cakap kat atas tu..

Macam ko cakap, tu aku takde sanggah, tapi kalau dropper tuh, dropperlah. Aku berkongsi pengalaman untuk buang dropper..

baok wrote:Memang boleh disinfect dengan boot device seperti BartPE dan seangkatan, tapi bukan "buang"..

Takkan ler ko nak buang infected file tuh kalau tuh system file.. Mesti ler buang file dropper tu kan? Biler masa pulak aku suh "buang" infected file.. Tu aku cakap, baca baik2.. Jangan emo sgt, main hantam mana suka : )

baok wrote:Since you mentioned you work for Symantec, I really want to see a proper explaination rather than "penerangan secara lepas batuk di tangga.."

work = kerja, worked = pernah/telah kerja.. Proper explanation untuk buang Sality ker, dropper? Aku dah cakap, ini approach holistik, bukan step-by-step guide.. Aper susah sgt nak paham, baok?

baok wrote:Kalau tak tahu mana satu loader Sality, adalah hampir mustahil nak cure Sality.. Normally kalau user dalam forum kena Sality, aku hanya cadangkan reformat, kecuali kalau user tu betul2 faham apa yang dia buat.."

Apesal ko tak cakap 'mustahil' jer terus.. Kalau tak tahu cakap je lah, aku buleh terangkan one-on-one. So ko quote aku apesal? Nak cakap apa yang aku tulis tu betul ke tak betul?

baok wrote:Like I said, you said you work for Symantec, but your explaination sounds like most noobies I found on the net..

Aper lak kaitan aku kerja dulu dengan cara penerangan? Yang paham, pahamler, yang tak paham leh tanyer soalan. Ni kan forum?

baok wrote:Tapi penerangan kau tak lengkap untuk polymorphic seperti Virut/Sality..

Awai2 aku dah habaq yang ini strategi untuk menangani dropper..

Tak paham? nin dia:

Main Entry:
strat·e·gy
Pronunciation:
\-jē\
Function:
noun
Inflected Form(s):
plural strat·e·gies
Etymology:
Greek stratēgia generalship, from stratēgos

1 a (1): the science and art of employing the political, economic, psychological, and military forces of a nation or group of nations to afford the maximum support to adopted policies in peace or war (2): the science and art of military command exercised to meet the enemy in combat under advantageous conditions b: a variety of or instance of the use of strategy
2 a: a careful plan or method : a clever stratagem b: the art of devising or employing plans or stratagems toward a goal
3: an adaptation or complex of adaptations (as of behavior, metabolism, or structure) that serves or appears to serve an important function in achieving evolutionary succes

baok wrote:I know a lot people works at antivirus/antispyware industries and never found one who give sloppy explaination like you..

Tak habih2 nak tunjuk ko tak puas ati sgt ngan aku.. Hehe.. Jgn lebeh2 baok, kang masuk spital.. Apesal ler ko tak reply awal mcm ni:

"thanapa, solution sdr tu bunyinya amat generic/ringkas. Sila berikan penerangan yang lebih terperinci mengenai langkah2 yang berkenaan"

Kanke lebih mesra dan produktif bunyinya.. Ko pun buleh jimat tensen ko tuh..

Macam ni jela, untuk mengelakkan Puteras sumer meluat ngan thread yang dah melalut nih, apa kate aku belanja ko minum, boleh kita bertukar2 pikiran? Tak guna tensen2 nih.

Kepada para pembaca yang ingin melangkah dengan lebeh maju dalam arena nih, aku cadangkan baca tentang:

1. API programming (kesan2 spaghetti coding)
2. Entry Point Obfuscation (EPO)
3. polymorphic engine

Rerajin ler carik, pasal "Usaha itu Tangga Kejayaan".. Ape2hal pm jer aku..

Oh, so you used to work for Symantec, not anymore right?.. As what? Sekretari?

And yes, apa yang ko tulis tu tak betul, let see.. Kalau kau tak jumpa loader untuk file infector, macam mana kau nak cure? Unless you know some technique that I didn't know. That would be very interesting, care to share? So, macam mana secara "secara teknikalnya orang tak payah tahu payload untuk Sality".. Betul la tak payah tahu kalau in the end nak format terus.. Kalau macam tu, ape pun tak perlu tahu..

Ok, I got your point.. That's srategy to handle dropper.. You're right and I agree about that.. Bukak satu topik baru khas untuk tangani dropper.. Sebab tajuk topik ni untuk Sality, dan dari apa yang kau tulis, langsung tak menunjukkan ciri-ciri nak handle Sality atau jenis polymorphic dan seumpama dengannya..

Kang masuk spital?.. Oh bro.. I don't really care who you are.. Kalau kau nak belanja aku minum, boleh la kita tahu sape yang masuk spital lepas tu.. Are you really that tough? Or just talk big like you're used to work with Symantec? Huh..

yer.. aku dah try .. nod32 die clean tanpa corruptkan file... mmg bagus

ni bukan topik nak tunjuk sape betul sape salah. kalau ada masalah peribadi, setel luar topik la ye. dan kpd yg sama2 share info, terima kasih byk2. byk aku blajar dr baca topik ni. bila dah terkena baru nak ambik tau, maklum la aku ni bukan org IT

as you wish sixx.. I remember the phrase "Don't argue with an idiot" thingy.. I'm off..

baok wrote:as you wish sixx.. I remember the phrase "Don't argue with an idiot" thingy.. I'm off..

Nak jugak have the last say tuh.. Suka hati ko lah baok.

Yang aku tak paham tuh kenapa ko nih baran sgt?

baok wrote:And yes, apa yang ko tulis tu tak betul, let see.. Kalau kau tak jumpa loader untuk file infector, macam mana kau nak cure? Unless you know some technique that I didn't know. That would be very interesting, care to share?

Macam ni lah soalan yang membina. Aku bukan ajak ko minum nak bertumbuk, tapi untuk bertukar pikiran dan teknik2. Aku buleh tunjukkan berberapa kod kat ko supaya ko paham falsafah di sebalik keluarga malware nih. Bila kita dah paham, nanti mesti ko setuju yang ko tak perlu tahu apa payloadnya. Tu aje.

baok wrote:Kang masuk spital?.. Oh bro.. I don't really care who you are.. Kalau kau nak belanja aku minum, boleh la kita tahu sape yang masuk spital lepas tu.. Are you really that tough?

Aku kata "masuk spital" tu bukan sebab aku nak benjolkan ko, tapi takut tekanan darah ko naik sebab agresif sgt ko nih.. Nak tensen ngan virus ler, takyah ler ngan manusia.

Ni nak ajak minum pun, ingat nak cari gaduh.. Aper ko ingat gaduh2 ni buleh selesai masalah ker?

Tima kasih berberapa kerat yang dah PM aku. Sila ruju' link2 yang diberi. Company aku memang mencari berberapa researcher yang berbakat. Gaji insya'Allah lumayan, berdasarkan bakat dan kelayakan.

Good Luck!

Hoit...

relax sudah...cool la skit bro-bro...harap2 bau "show off" dah ilang...

laptop member aku kena gak virus nih...
so stiap kali masuk pendrive sure kena...
then aku scan je pakai kav 2009...mmg dia cure la smua file...
just dia x visiblekan aja...so need to do it urself...
aku pakai kav2009 file x corrupt la...

tp tuh utk pendrive je la...coz this virus never infented my laptop...so aku x tau la kaspersky mampu ke x...cuma stakat nih...ok lagi la...

gado cam bebudak .. gune je antivirus je .. tayah nak xplain kalau tatau ... huhuhu if kalau tau ke tak diam je nnti dikata org len lak walau pun betul

TAK PAYAH LE NAK BERTEKAK....... SALITY NYER HAL PUN NAK GADUH2, TAK UNTUNG PUN. YANG PENTING AKU LEH SETLEKAN HAL SI SALLY NI (SALITY) AKU PANGGIL SALLY JER...HUHUHU. KAN KE SEDAP NAMA TUH. KALU SALLY LE NAMA NYER LAYAK GAK KORANG GADUH.....HEHEHE.

PC AKU NI DAH BERTAHUN TAK FORMAT....PASAL VIRUS TU LANTAK LE APE NAK MAI. KO TRY JE LER APE YG PATUT.....JANJI BAHAGIA HINGGA ANAK CUCU