Sality病毒分析与防护指南

一、病毒概述

Sality是一种感染型病毒，主要针对Microsoft Windows系统。最初于2003年被发现，经过多年演变已成为功能复杂、持久性强的恶意软件。

主要特征：

感染Windows可执行文件
通过P2P网络通信
可发送垃圾邮件和传播其他恶意软件
2010年后变种开始使用rootkit技术
具备多种功能且频繁更新变种

二、病毒定义与生命周期

计算机病毒是插入计算机程序中破坏功能或数据的代码，具有以下特性：

传播性
隐蔽性
感染性
潜伏性
可激发性
表现性或破坏性

病毒生命周期：

开发期 → 2. 传染期 → 3. 潜伏期 → 4. 发作期 → 5. 发现期 → 6. 消化期 → 7. 消亡期

三、行为流程分析

内存操作：
- 申请内存空间
- 通过自解密函数脱壳
- 将解密后的PE文件存入内存并执行
系统策略修改：
- 设置隐藏文件不可见
- 关闭安全中心提示
- 关闭用户控制提醒和通知提示
- 修改防火墙应用程序通过策略
注册表操作：
- 添加HKCU\Software\[randomname]键值
- randomname为基于主机名的特定算法生成
- 记录可连接的控制端和被感染主机

四、核心线程功能分析

病毒创建8个子线程执行恶意操作：

1. 线程0040D570 - 进程注入

遍历所有非系统用户进程
创建互斥体防止重复注入（格式："进程名"+"M_"+"进程ID"+"_"）
进行远程线程注入

2. 线程004053B2 - 系统防护破坏

修改注册表禁用安全模式
加载驱动ipfltdrv.sys进行流量过滤（阻止安全更新）
创建amsint32服务启动rootkit组件（ptsjpq.sys）

3. 线程0040E507 - 文件感染

在Temp目录释放win开头的文件
创建autorun.inf自动执行恶意文件
感染注册表中记录的可执行文件
感染磁盘中的.exe和.scr文件
删除包含特定字符串的文件

4. 线程00403FAA - C&C通信

连接控制端获取后续恶意文件
母URL：
- http://89.119.67.154/testo5
- http://kukutrustnet777.info/home.gif
- http://kukutrustnet888.info/home.gif
- http://kukutrustnet987.info/home.gif
子URL格式："母URL"+"?"+"b=c"
下载文件保存在Temp目录
使用密钥"kukutrusted!."或"GdiPlusdll"解密

5. 线程004057A0 - 文件清理

删除Temp目录中的.exe和_Rar文件

6. 线程00401189 - 资源调度

遍历句柄进行线程资源分配

7. 线程00403911 - 端口监听

绑定端口5579接收服务端信息
更新控制端和被感染主机列表
修改注册表存储更新数据

8. 线程00403D9B - 备用通信

创建子线程进行类似00403911的操作

五、IOC指标

MD5哈希：

930d293e5c1ed1da2c8bb638f582d509
beee12e05b4e75b0eba4a1d6bff7e083
bf31a8d79f704f488e3dbcb6eea3b3e3

C&C服务器：

http://89.119.67.154/testo5
http://kukutrustnet777.info/home.gif
http://kukutrustnet888.info/home.gif
http://kukutrustnet987.info/home.gif

六、防护措施

禁用自动播放功能：
- 使用"右击磁盘图标→打开"方式访问驱动器
软件使用规范：
- 不运行来历不明的软件
- 定期更新病毒库
高级防护系统：
- 使用"铁穹高级持续性威胁系统"检测潜在攻击
系统监控：
- 监控可疑的注册表修改
- 检查异常网络连接（特别是端口5579）
- 关注Temp目录异常文件
驱动和服务检查：
- 定期检查系统驱动（特别是ipfltdrv.sys）
- 监控异常服务（如amsint32）
文件系统防护：
- 监控.exe和.scr文件异常修改
- 检查磁盘根目录的autorun.inf文件

七、分析工具推荐

静态分析：
- IDA Pro
- WinHex
动态分析：
- Ollydbg
- Wireshark（网络流量分析）
系统监控：
- Process Monitor
- RegShot（注册表监控）

Sality病毒分析与防护指南一、病毒概述 Sality是一种感染型病毒，主要针对Microsoft Windows系统。最初于2003年被发现，经过多年演变已成为功能复杂、持久性强的恶意软件。主要特征：感染Windows可执行文件通过P2P网络通信可发送垃圾邮件和传播其他恶意软件 2010年后变种开始使用rootkit技术具备多种功能且频繁更新变种二、病毒定义与生命周期计算机病毒是插入计算机程序中破坏功能或数据的代码，具有以下特性：传播性隐蔽性感染性潜伏性可激发性表现性或破坏性病毒生命周期：开发期 → 2. 传染期 → 3. 潜伏期 → 4. 发作期 → 5. 发现期 → 6. 消化期 → 7. 消亡期三、行为流程分析内存操作：申请内存空间通过自解密函数脱壳将解密后的PE文件存入内存并执行系统策略修改：设置隐藏文件不可见关闭安全中心提示关闭用户控制提醒和通知提示修改防火墙应用程序通过策略注册表操作：添加HKCU\Software\[randomname ]键值 randomname为基于主机名的特定算法生成记录可连接的控制端和被感染主机四、核心线程功能分析病毒创建8个子线程执行恶意操作： 1. 线程0040D570 - 进程注入遍历所有非系统用户进程创建互斥体防止重复注入（格式："进程名"+"M_ "+"进程ID"+"_ "）进行远程线程注入 2. 线程004053B2 - 系统防护破坏修改注册表禁用安全模式加载驱动ipfltdrv.sys进行流量过滤（阻止安全更新）创建amsint32服务启动rootkit组件（ptsjpq.sys） 3. 线程0040E507 - 文件感染在Temp目录释放win开头的文件创建autorun.inf自动执行恶意文件感染注册表中记录的可执行文件感染磁盘中的.exe和.scr文件删除包含特定字符串的文件 4. 线程00403FAA - C&C通信连接控制端获取后续恶意文件母URL： http://89.119.67.154/testo5 http://kukutrustnet777.info/home.gif http://kukutrustnet888.info/home.gif http://kukutrustnet987.info/home.gif 子URL格式："母URL"+"?"+"b=c" 下载文件保存在Temp目录使用密钥"kukutrusted !."或"GdiPlusdll"解密 5. 线程004057A0 - 文件清理删除Temp目录中的.exe和_ Rar文件 6. 线程00401189 - 资源调度遍历句柄进行线程资源分配 7. 线程00403911 - 端口监听绑定端口5579接收服务端信息更新控制端和被感染主机列表修改注册表存储更新数据 8. 线程00403D9B - 备用通信创建子线程进行类似00403911的操作五、IOC指标 MD5哈希： 930d293e5c1ed1da2c8bb638f582d509 beee12e05b4e75b0eba4a1d6bff7e083 bf31a8d79f704f488e3dbcb6eea3b3e3 C&C服务器： http://89.119.67.154/testo5 http://kukutrustnet777.info/home.gif http://kukutrustnet888.info/home.gif http://kukutrustnet987.info/home.gif 六、防护措施禁用自动播放功能：使用"右击磁盘图标→打开"方式访问驱动器软件使用规范：不运行来历不明的软件定期更新病毒库高级防护系统：使用"铁穹高级持续性威胁系统"检测潜在攻击系统监控：监控可疑的注册表修改检查异常网络连接（特别是端口5579）关注Temp目录异常文件驱动和服务检查：定期检查系统驱动（特别是ipfltdrv.sys）监控异常服务（如amsint32）文件系统防护：监控.exe和.scr文件异常修改检查磁盘根目录的autorun.inf文件七、分析工具推荐静态分析： IDA Pro WinHex 动态分析： Ollydbg Wireshark（网络流量分析）系统监控： Process Monitor RegShot（注册表监控）