Sifat win32.sality yang aneh yaitu ketika kita mau menginstall antivirus, maka virus akan menghalangi dengan cara virus tersebut akan memblok running proses setup. Namun virus tersebut mendeteksi setup antivirus tersebut dengan melihat nama file master nya hahaha. Contohnya ketika kita akan menginstall avira atau antivirus "cap payung", nama file setup dari antivirus tersebut adalah "antivir_workstation_winu_en_h.exe". Jika kita tidak merename file tersebut, maka kita tidak bakalan bisa melakukan proses instalasi.
Namun jika file setup tersebut kita rename menjadi "a.exe", maka proses instalasi akan berjalan dengan mulusnya. Hahahaha, aneh tho, sifat ini bisa kita jadikan penanda apakah system telah tertular win32.sality.
Setelah lihat referensi, ternyata yang di stop itu proses yang mengandung nama "anti". Keterangan lebih lanjut silahkan lihat link referensi berikut ini:
http://www.eset.eu/buxus/generate_page.php?page_id=20180
http://www.bitdefender.com/VIRUS-1000232-en--Win32.Sality.M.html
http://www.sophos.com/security/analyses/viruses-and-spyware/w32salityaa.html
http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99&tabid=2
3 years ago
No comments:
Post a Comment