Salityウイルスの理解と削除方法
Salityは、ファイル感染型の悪意のあるソフトウェアのファミリで、 EXEファイルとSCRファイルを介して感染を広げてWindowsコンピュータに影響を与えます。
もともとロシアで始まったかもしれないSalityは長年にわたり多くの進化を遂げており、マルウェアのさまざまなバリエーションはさまざまな特性を示しています。 しかし、ほとんどのSalityの亜種は、自動実行機能を使用して実行可能ファイルをリムーバブルドライブまたは検出可能ドライブに感染させるという点で、ワームです。
感染マシンを自社のP2Pネットワークに結びつけるSalityボットネットでさえ、コンピュータ全体がプライベートデータを盗み出したり、パスワードを壊したり、スパムを送信したりするのを助けます。
Salityウイルスには、インターネット経由でマルウェアを追加インストールするトロイの木馬ダウンローダや、キーストロークを監視して記録するキーロガーも含まれています。
注:ウイルス対策プログラムの中には、Saileoad、SaliCode、Kookoo、およびKukackaなどの他の名前でSalityウイルスを参照するものがあります。
使い方
上記のように、Salityマルウェアは、感染したコンピュータの実行可能ファイルに感染します。
ほとんどのバージョンのマルウェアは、 %SYSTEM%フォルダ内のコンピュータに特別なDLLファイルを置き、それを "wmdrtc32.dll"、または圧縮バージョン "wmdrtc32.dl_"と呼びます。
しかし、Salityウイルスのすべての亜種がこのようにDLLファイルを使用するわけではありません。 コードによってはメモリに直接ロードされるものもあれば、実際のディスクファイルのどこにでもDLLファイルが見つからないものもあります。
他の人は、 %SYSTEM%\ driversフォルダにデバイスドライバを格納することさえできます。 これが難しいのは、ランダムなファイル名で保存されている可能性があるためです。ウイルス対策ソフトウェアがファイル名ではなくウイルスの有無を確認するだけで、Salityウイルスを検出しない可能性があります。
Salityマルウェアへの更新は、 URLの分散リストを介してHTTP経由で行われます 。 感染後、マルウェアは舞台裏で更新を要求するだけで、それ自体が変身して成長し、新しいファイルをダウンロードして他のコンピュータを感染させることができます。
感染の徴候
Salityウイルス感染の症状(コンピュータが実行する可能性、またはSalityウイルスが存在する場合の実行方法)に注意することが重要です。
他の多くのマルウェアと同様に、Salityは次のいずれかを実行する可能性があります。
- ウイルス対策ソフトウェアを無効にし、特定のウイルス対策およびセキュリティWebサイトへのアクセスを禁止します。
- セーフモードでの起動を防ぎます。
- セキュリティ関連のファイル、プロセス、またはサービスを削除します 。
- 検出可能なドライブのルートに、ドライブにアクセスしたときにドロップされたファイルをロードするための指示を含むautorun.infファイルとともに、CMD、PIF、および/またはEXEファイルを格納します。
- メールクライアントのアドレス帳にアクセスして、メール連絡先にスパムを送信します。
- 特定のファイル拡張子を含むファイルを削除します。
削除方法
Salityウイルスの感染を防止する最善の方法は、最新のパッチとセキュリティ定義でコンピュータを最新の状態に保つことです。 Windows Updateを使用し、この攻撃を阻止するためにウイルス対策ソフトウェアを更新したままにしておきます。
あなたがSalityウイルスを持っていることをすでに知っているなら、あなたは同様の方法でそれを取り除くことができます。 更新されたウイルス対策ソフトウェアプログラムを使用して、 コンピュータのマルウェアをスキャンします 。 Salityウイルスがスパイウェアとして機能するので、 スパイウェアリムーバを使用してSalityウイルスをキャッチする運があるかもしれません。 それらが機能しない場合、またはWindowsに定期的にアクセスできない場合は、代わりに起動可能なウイルス対策プログラムを使用してください。
一部のウイルス対策ベンダーには、Salityウイルスを扱う特別なツールが含まれています。 たとえば、AVGは人気のある無料のウイルス対策プログラムを提供していますが、ダウンロードしてSalityウイルスを自動的に削除できるSality Fixも含まれています。 Kasperskyでは、無料のSalityKillerツールを使用できます。
ファイルがSalityに感染していることが判明した場合は、ソフトウェアがファイルを消去できるようにします。 他のマルウェアが見つかった場合は、ウイルスを削除するか、スキャナが推奨する処置を行ってください。
一部のウイルス対策プログラムはSalityウイルスを検出しないことがあります。 ウイルスに感染していると思われるがセキュリティソフトウェアが検出できない場合は、VirusTotalにアップロードしてさまざまなスキャンエンジンでオンラインスキャンを実行してください。
別のオプションは、Everythingのようなファイル検索ツールでコンピュータを検索してウイルスファイルを手動で削除することです。 ただし、ファイルがロックされていて、通常の方法では削除できない可能性があります。 ウイルス対策プログラムは、通常、コンピュータのシャットダウン時にマルウェアの削除をスケジュールすることでこれを回避できます。
次はどうする
Salityウイルスが削除されたことが確かな場合は、 USBドライブ経由での再感染を防ぐために自動実行を無効にすることを検討する必要があります。
また、感染時に使用したオンラインアカウントにパスワードを変更することも重要です。 Salityウイルスがキーストロークを記録していた場合は、銀行情報、ソーシャルメディアの資格情報、Eメールパスワードなどが記録されている可能性があります。 感染してからパスワードを変更し、盗難のためにアカウントを確認することは重要なステップです。
常時稼働している、常に更新された、使いやすいアンチウィルスプログラムをインストールしてください。これにより、これが再び起こる可能性は低くなります。 リムーバブルドライブにマルウェアがないかチェックして、Salityウイルスだけでなくすべての種類のマルウェアを定期的にチェックするように定時スキャンを設定できることを確認してください。