Sality 바이러스 이해 및 삭제 방법
Sality는 EXE 및 SCR 파일을 통해 감염을 확산하여 Windows 컴퓨터에 영향을 미치는 파일 감염 악성 소프트웨어 제품군입니다.
원래 러시아에서 시작했을 수도있는 Sality는 수년에 걸쳐 많은 발전을 거듭하여 다양한 악성 코드가 서로 다른 특성을 나타냅니다. 그러나 대부분의 Sality 변종은 이동식 또는 검색 가능한 드라이브를 통해 실행 파일을 감염시키기 위해 자동 실행 기능의 일부 형태를 사용한다는 점에서 웜입니다.
일부는 감염된 컴퓨터를 자체 P2P 네트워크에 연결하는 Sality 봇넷이기 때문에 컴퓨터가 전체적으로 개인 데이터를 도용하고 암호를 해독하고 스팸을 보내는 등의 작업을 원활하게 수행 할 수 있습니다.
Sality 바이러스에는 인터넷을 통해 추가 악성 코드를 설치하는 트로이 목마 다운로더와 키 스트로크를 모니터링하고 기록하는 키로거가 포함될 수 있습니다.
참고 : 일부 바이러스 백신 프로그램은 SaLoad, SaliCode, Kookoo 및 Kukacka와 같은 다른 이름으로 Sality 바이러스를 참조합니다.
어떻게 작동 하는가?
위에서 설명한 것처럼 Sality 맬웨어는 감염된 컴퓨터의 실행 파일을 감염시킵니다.
대부분의 버전의 맬웨어는 % SYSTEM % 폴더 내의 컴퓨터에 특수한 DLL 파일을 저장하고 "wmdrtc32.dll"또는 압축 된 버전의 "wmdrtc32.dl_"이라고 부를 수 있습니다.
그러나 Sality 바이러스의 모든 변종이 이러한 방식으로 DLL 파일을 사용하는 것은 아닙니다. 일부는 직접 메모리에 코드를로드하고 DLL 파일은 실제 디스크 파일 내의 아무 위치에도 없습니다.
다른 사용자는 % SYSTEM % \ drivers 폴더에 장치 드라이버 를 저장할 수도 있습니다. 이게 까다로운 이유는 파일 이름이 임의의 파일 이름으로 저장된다는 것입니다. 따라서 바이러스 백신 소프트웨어가 파일 이름이 아닌 바이러스를 검사하기 만하면 Sality 바이러스를 발견하지 못할 가능성이 있습니다 .
Sality 악성 코드에 대한 업데이트는 분산 된 URL 목록을 통해 HTTP를 통해 제공 됩니다 . 일단 감염되면 맬웨어는 자체 컴퓨터에서 변형 및 성장하고 새 파일을 다운로드하여 다른 컴퓨터를 감염시킬 수있는 백그라운드에서 업데이트를 요청하면됩니다.
감염 징후
Sality 바이러스 감염의 증상 - Sality 바이러스가 존재할 때 컴퓨터가 수행 할 수있는 방법 또는 수행 방법에 대해 알고 있어야합니다.
다른 많은 멀웨어와 마찬가지로 Sality는 다음 중 하나를 수행 할 수 있습니다.
- 바이러스 백신 소프트웨어를 사용하지 않도록 설정하고 특정 바이러스 백신 및 보안 웹 사이트에 대한 액세스를 차단합니다.
- 안전 모드 부팅 방지.
- 보안 관련 파일, 프로세스 및 / 또는 서비스를 제거하십시오.
- 드라이브에 액세스 할 때 삭제 된 파일을로드하는 지침이 포함 된 autorun.inf 파일과 함께 CMD, PIF 및 / 또는 EXE 파일을 검색 가능한 드라이브의 루트 에 저장하십시오.
- 전자 메일 클라이언트의 주소록에 액세스하여 전자 메일 연락처로 스팸을 보냅니다.
- 특정 파일 확장자 를 포함하는 파일을 삭제하십시오.
삭제 방법
Sality 바이러스 감염을 막는 가장 좋은 방법은 최신 패치 및 보안 정의로 컴퓨터를 최신 상태로 유지하는 것입니다. Windows Update를 사용하고 바이러스 백신 소프트웨어를 업데이트하여이 공격을 차단하십시오.
Sality 바이러스가 있다는 것을 이미 알고 있다면 비슷한 방법으로 치료할 수 있습니다. 업데이트 된 바이러스 백신 소프트웨어 프로그램을 사용 하여 컴퓨터에서 맬웨어 를 검색하십시오 . Sality 바이러스가 스파이웨어로 작동하기 때문에 Spyware 제거기 를 사용하여 운이 좋았을 수도 있습니다. 작동하지 않거나 Windows에 정기적으로 액세스 할 수없는 경우 대신 부팅 가능한 바이러스 백신 프로그램을 사용하십시오.
일부 바이러스 백신 공급 업체는 Sality 바이러스를 다루기 위해 특별히 고안된 특수 도구를 포함합니다. 예를 들어, AVG는 널리 사용되는 무료 바이러스 백신 프로그램을 제공하지만 Sality 바이러스를 다운로드하여 Sality 바이러스를 자동으로 제거 할 수 있습니다. Kaspersky에서는 무료 SalityKiller 도구를 사용할 수 있습니다.
파일이 Sality에 감염된 것으로 판명되면 소프트웨어가 파일을 치료할 수있게하십시오. 다른 맬웨어가 발견되면 바이러스를 삭제하거나 스캐너에서 권장하는 조치를 취하십시오.
일부 바이러스 백신 프로그램은 Sality 바이러스를 탐지하지 못할 수 있습니다. 바이러스는 있지만 보안 소프트웨어가 발견하지 못한다면 VirusTotal에 업로드하여 다양한 검색 엔진으로 온라인 검사를 수행하십시오.
또 다른 옵션은 Everything과 같은 파일 검색 도구로 컴퓨터를 검색하여 바이러스 파일을 수동으로 삭제하는 것입니다. 그러나 파일이 잠겨 있어 정상적인 방법으로 제거 할 수 없을 가능성이 있습니다. 바이러스 백신 프로그램은 일반적으로 컴퓨터가 종료 될 때 악성 코드가 삭제되도록 예약함으로써이를 방지 할 수 있습니다.
다음에 무엇을할지
Sality 바이러스가 제거되었다고 확신하는 경우 자동 실행 을 사용하지 않도록 설정 하여 USB 드라이브를 통한 재 감염을 방지하는 것이 좋습니다.
또한 감염시 사용한 온라인 계정으로 암호를 변경하는 것도 중요합니다. Sality 바이러스가 키 입력을 기록한 경우 은행 정보, 소셜 미디어 자격 증명, 전자 메일 암호 등을 기록 할 가능성 이 큽니다. 감염 후 암호를 변경하고 도난 당했을 때 계정을 확인하는 것이 중요한 단계입니다 .
언제나 항상 업데이트되고 사용하기 쉬운 바이러스 백신 프로그램을 설치하면 이런 일이 발생할 확률이 줄어 듭니다. 이동식 드라이브에서 맬웨어를 확인하고 Sality 바이러스뿐만 아니라 모든 유형의 맬웨어를 주기적으로 확인하도록 예약 된 검색을 설정할 수 있는지 확인하십시오.