PE_SALITY.RL
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
File infector
Destructivo?
No
Cifrado
³§¨ª
In the Wild:
³§¨ª
Resumen y descripci¨®n
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles y f¨ªsicas del sistema. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Detalles t¨¦cnicos
T¨¦cnica de inicio autom¨¢tico
Registra el componente infiltrado como servicio del sistema para garantizar su ejecuci¨®n autom¨¢tica cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\amsint32
Type = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\amsint32
Start = "3"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\amsint32
ErrorControl = "1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\amsint32
ImagePath = "\??\%System%\drivers\{random file name}.sys"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\amsint32
DisplayName = "amsint32"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:
HKEY_CURRENT_USER\Software\{random characters}
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:Enabled:ipsec"
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(Note: The default value data of the said registry entry is 1.)
Infecci¨®n de archivo
Infecta los siguientes tipos de archivo:
- .EXE
- .SCR
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles y f¨ªsicas del sistema.
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Rutina de infiltraci¨®n
Infiltra los archivos siguientes:
- %System%\drivers\{random file name}.sys - detected as RTKT_SALITY.BA
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)
Soluciones
Step 1
INSTRUCCIONES PARA LA ELIMINACI?N AUTOM?TICA
Para eliminar autom¨¢ticamente este malware del sistema, utilice la aplicaci¨®n para permitir la exploraci¨®n completa del equipo.
Step 3
Identificar y terminar los archivos detectados como PE_SALITY.RL
- Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecuci¨®n. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuesti¨®n .
- Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
- Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuaci¨®n.
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify = "1"
- AntiVirusDisableNotify = "1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusOverride =?"1"
- AntiVirusOverride =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallDisableNotify =?"1"
- FirewallDisableNotify =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- FirewallOverride =?"1"
- FirewallOverride =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UacDisableNotify =?"1"
- UacDisableNotify =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UpdatesDisableNotify =?"1"
- UpdatesDisableNotify =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- AntiVirusDisableNotify =?"1"
- AntiVirusDisableNotify =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- AntiVirusOverride =?"1"
- AntiVirusOverride =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallDisableNotify =?"1"
- FirewallDisableNotify =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- FirewallOverride =?"1"
- FirewallOverride =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- UacDisableNotify?=?"1"
- UacDisableNotify?=?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
- UpdatesDisableNotify =?"1"
- UpdatesDisableNotify =?"1"
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA =?"0"
- EnableLUA =?"0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- EnableFirewall =?"0"
- EnableFirewall =?"0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DoNotAllowExceptions =?"0"
- DoNotAllowExceptions =?"0"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
- DisableNotifications =?"1"
- DisableNotifications =?"1"
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- {malware path and file name} =?"{malware path and file name}:*:Enabled:ipsec"
- {malware path and file name} =?"{malware path and file name}:*:Enabled:ipsec"
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32
- Type =?"1"
- Type =?"1"
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32
- Start =?"3"
- Start =?"3"
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32
- ErrorControl =?"1"
- ErrorControl =?"1"
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32
- ImagePath =?"\??\%System%\drivers\{random file name}.sys"
- ImagePath =?"\??\%System%\drivers\{random file name}.sys"
- In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\amsint32
- DisplayName =?"amsint32"
- DisplayName =?"amsint32"
Step 5
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software
- {random characters}
- {random characters}
Step 6
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- From: Hidden = "2"
To: Hidden =?"1"
- From: Hidden = "2"
Step 7
Buscar y eliminar los archivos de AUTORUN.INF creados por PE_SALITY.RL que contienen las siguientes cadenas
{garbage characters}
shELl\EXplOrE\cOmMand= {random file name}.exe;
{garbage characters}
sheLL\OPen\cOMMaND= {random file name}.exe;
{garbage characters}
shEll\open\DefAuLt=1;
{garbage characters}
OPen= {random file name}.exe;
{garbage characters}
shelL\aUToPLAy\command = {random file name}.exe
Step 8
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como PE_SALITY.RL En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Rellene nuestra encuesta!