virus win32.sality.ak na rede

ale_oliveira
(usa Debian)

Enviado em 15/02/2011 - 18:47h

Ola amigos, estou com um problemao...e preciso da ajuda de vcs...
Estou com o virus win32.sality.ak em minha rede, já identifiquei todas máquinas que foram afetadas.
Como posso realizar a limpeza do virus na rede, visto que das maquinas já efetuei a limpeza.
sei que pelo rm, posso excluir extensões pif e cmd, mas o problema e que esse virus volta.
Alguem sabe dizer o antivirus para isso.

Valeu gente.

tlaloc
(usa Gentoo)

Enviado em 15/02/2011 - 19:03h

O vírus volta porque ainda tem alguma cópia dele em algum canto.

luizvieira
(usa Debian)

Enviado em 15/02/2011 - 19:03h

Ja tentou passar o clamav a partir de uma maquina Linux?

y2h4ck
(usa Suse)

Enviado em 16/02/2011 - 13:02h

bom amigo, geralmente quando existe a re-infecçao e porque algum resquicio do virus pode ter ficado.
Geralmente esses virus contam com alguma chave de registro na inicializaçao do sistema operacional. Quando os usuarios restartam as maquinas pode estar executando algum tipo de "downloader" que baixa novamente o virus e re-infecta as maquinas.

Faz uma checagem no startup dos sistemas pode ser uma boa.
Eu recomendo voce fazer um teste com o Comodo Security Suit. Ele e Antivirus, Antispyware e Personal Firewall.
E Free e vc pode instalar sem problemas nas maquinas. Coloque em uma e verifique se ele detecta algum tipo de comunicaçao externa ... algum processo tentando se comunicar com algum host e etc.

kbcasagrande
(usa Slackware)

Enviado em 16/02/2011 - 13:09h

esse cara eh meio chato...eh um file infector...ou seja infecta dll's e executaveis
eis um link interessante:

http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=PE_SALITY.AE

y2h4ck
(usa Suse)

Enviado em 16/02/2011 - 13:29h

Pesquisando sobre o win32.sality.ak encontrei alguns antivirus vendors que davam algumas explicaçoes sobre ele, acredito que vai ser muito util para voce.
---
Installation and spreading:
Virus searches for suitable executable files on all accessible disk drives and infects them.

Payload:
Collects and sends system information, downloads and executes files from the Internet, it can delete files with .vdb and .avc extensions, terminates running processes of some security applications, some variants can log keystrokes and harvest e-mail adresses.

-----

Como eu disse no comentario acima, ele faz download de arquivos por isso a re-infecçao ocorre.

A Grisoft (que e responsavel pelo antivirus AVG) tem uma ferramenta especifica para remover esta praga:

Baixe os três seguintes arquivos
rmsality.exe (http://www.grisoft.cz/filedir/util/avg_rem...ty/rmsality.exe)
rmsality.nt (http://www.grisoft.cz/filedir/util/avg_rem...ity/rmsality.nt)
rmsality.dos (http://www.grisoft.cz/filedir/util/avg_rem...ty/rmsality.dos)
e execute o arquivo rmsality.exe.

Você também pode especificar os discos (ou partições) para restaurar como um parâmetro de um comando, e.x.: "rmsality C: D:". Se o comando é usado sem parâmetros, será restaurado todos os discos (partições) no computador.

Nota:
A execução bem-sucedida do removedor necessita de direitos de acesso de administrador. Para a funcionalidade apropriada do removedor, é necessário salvar o rmsality.nt e o rmsality.dos na mesma pasta que o rmsality.exe. Depois do processo de restauração, por favor, execute o Teste Completo do AVG para garantir que seu computador esteja livre de vírus.

Fonte retirada: http://www.grisoft.com/doc/removal/br-pt/c...rmsality#sality

Espero que isto te ajude :]

pinduvoz
(usa Debian)

Enviado em 16/02/2011 - 14:12h

Rode o clamav no servidor Linux para remover qualquer vestígio do vírus.

Há vários tutoriais sobre a instalação e o uso do clamav aqui mnesmo no VOL.