Nama lain virus : W32/Sality.AE, W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee], Sality.AG [Panda Software], Win32/Sality.Z [Computer Associates], Win32/Sality.AA [Computer Associates]
Virus ini akan meng infeksi dan merusak file exe / com / scr. Ukuran file yang sudah terinfeksi Sality akan bertambah besar beberapa KB dan masih dapat di jalankan seperti biasa. Biasanya virus ini akan mem blok antivirus atau removal tools selain itu juga akan memblok task manager atau registry editor Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan File Sharing dan Default Share virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak dengan ekstensi exe/com/scr/pif serta menambahkan file autorun.inf
Untuk blok task manager atau Registry tools, Sality akan membuat :
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem
* DisableRegistryTools
* DisableTaskMgr
File yang terinfeksi akan men dekrip dirinya dan mencoba copy *.dll (acak) dan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di computer dan network (file sharing) serta
menginfeksi file *.exe yang terdapat dalam list registry hingga virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
* HKLMSoftwareMicrosoftWindowsCurrentVersionRun
* HKCUSoftwareMicrosoftWindowsCurrentVersionRun
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
Beberapa file *.dll yang akan di drop oleh Sality.
* C:Windowssystem32syslib32.dll
* C:Windowssystem32oledsp32.dll
* C:Windowssystem32olemdb32.dll
* C:Windowssystem32wcimgr32.dll
* C:Windowssystem32wmimgr32.dll
Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori C:Windowssystem32drivers [misal : kmionn.sys]
Blok Antivirus dan software security
program security dan antivirus yang dimatikan prosesnya : ALG, aswUpdSv, avast! Antivirus, avast! Mail Scanner, avast! Web Scanner, AVP, BackWeb Plug-in – 4476822, bdss, BGLiveSvc, BlackICE, CAISafe, ccEvtMgr, ccProxy, ccSetMgr, F-Prot Antivirus Update Monitor, fsbwsys, FSDFWD, F-Secure Gatekeeper Handler Starter, fshttps FSMA,InoRPC, InoRT, InoTask, ISSVC, KPF4, LavasoftFirewall, LIVESRV, McAfeeFramework, McShield, McTaskManager, navapsvc, NOD32krn, NPFMntor, NSCService, Outpost Firewall main module, OutpostFirewall, PAVFIRES, PAVFNSVR, PavProt, PavPrSrv, PAVSRV, PcCtlCom, PersonalFirewal, PREVSRV, ProtoPort Firewall service, PSIMSVC, RapApp, SmcService, SNDSrvc, SPBBCSvc, Symantec Core LC, Tmntsrv, TmPfw, tmproxy, UmxAgent, UmxCfg, UmxLU, UmxPol, vsmon, VSSERV, WebrootDesktopFirewallDataService, WebrootFirewall, XCOMM
Beberapa website juga di blok seperti : Cureit, Drweb, Onlinescan, Spywareinfo, Ewido, Virusscan, Windowsecurity, Spywareguide, Bitdefender, Panda software, Agnmitum, Virustotal, Sophos, Trend Micro, Etrust.com, Symantec, McAfee, F-Secure, Eset.com, Kaspersky
Sality juga merubah registry :
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Setting”GlobalUserOffline” = “0″
* HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem”EnableLUA” = “0″
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesxxx [xxx adalah acak, contoh : abp470n5]
* HKEY_CURRENT_USERSoftware[USER NAME]91
* HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_WMI_MFC_TPSHOKER_8
* HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_IPFILTERDRIVER
Selain itu akan merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center
* AntiVirusDisableNotify
* AntiVirusOverride
* FirewallDisableNotify
* FirewallOverride
* UacDisableNotify
* UpdatesDisableNotify
dan membuat key “SVC” serta string berikut dengan value 1
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterSvc
* AntiVirusDisableNotify
* AntiVirusOverride
* FirewallDisableNotify
* FirewallOverride
* UacDisableNotify
* UpdatesDisableNotify
Sality menghapus key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesALG. ALG ( Application Layer Gateway Service ) adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Jika service ini dimatikan, program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.
Blok safe mode
User tidak dapat booting pada mode “safe mode” hal imi di sebabkan adannya penghapusan key :
* HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBoot
* HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSafeBoot
* HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBoot
Injeksi file exe / com / scr
File yang ber ekstensi “.exe” yang terdapat dalam list registry menyebabkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
* HKLMSoftwareMicrosoftWindowsCurrentVersionRun
* HKCUSoftwareMicrosoftWindowsCurrentVersionRun
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache
File yang di injeksi ukurannya bertambah sekitar 68 – 80 KB dari ukuran semula. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file induk sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.
Tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi Sality, file tersebut bisa rusak setelah di scan dan di bersihkan oleh antivirus tersebut.
Untuk memperlancar aksinya, virus ini akan akan melakukan koneksi ke sejumlah alamat web yang sudah ditentukan, dan mendownload trojan / virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya ( update ).
Eksploitasi Default Share dan Full Sharing
Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Maka sebaiknya nonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder di jaringan.Sality juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:Windowssystem.ini.
Membuat File Induk
Sality akan membuat dua buah file induk di directory c:\windows\system32 dengan nama wmdrtc32.dll dan wmdrtc32.dl_, File
wmdrtc32.dll dibuat dengan ukuran sekitar 40 KB, diset beratribut normal sedangkan file yang kedua yaitu wmdrtc32.dl_ dengan ukuran 26 KB diset beratribut hidden, file ini dibuat virus untuk mengelabui seolah-olah file tersebut file windows yang di rename dan disembunyikan oleh virus, padahal file tersebut adalah masih virus. dua file ini tidak bisa di delete langsung.
CARA PEMBERSIHAN?????
===Cara1. Menggunakan Norman===
# Putuskan hubungan komputer dari jaringan LAN dan internet
# Matikan System Restore selama proses pembersihan virus Sality berlangsung.
# Matikan program aplikasi yang aktif di memori terutama dalam daftar startup.
# Download Sality Repair disini <via Ziddu>
# Extract file SalityRepair dan klik kanan file repair.inf kemudian klik kanan dan klik Install
# Download Norman Malware Cleaner disini atau download secara langsung disini
# Ubah ekstensi Norman Malware Cleaner dari .exe menjadi .cmd agar aplikasi Norman Malware Cleaner tersebut tidak diinfeksi oleh virus sality
# Lakukan scanning menggunakan Norman Malware Cleaner.cmd (ekstensi .exe sudah anda rubah menjadi .cmd)
# Restart komputer anda setelah proses cleaning selesai
# Download FixReg disini <via ziddu> agar komputer dapat booting safe mode.
# Extrack FixReg.rar dan jalankan registri yang ada di folder FixReg sesuai dengan windows yang anda gunakan.
# Restart komputer anda.
# Periksa task manager, regedit dsb untuk memastikan komputer anda sudah sembuh. Anda juga bisa melakukan scanning pada safe mode untuk memastikan komputer anda sudah benar – benar bersih dari virus sality.
# INGAT JANGAN SEKALI-KALI MENGUNAKAN ANTIVIRUS HASIL BACKUP-AN DARI KOMPUTER YANG TELAH TERJANGKIT OLEH VIRUS SALITY KARENA DIMUNGKINKAN ANTIVIRUS ANDA SUDAH TERINFEKSI SALITY. APABILA FLASHDISK ANDA TERKENA SALITY SEGERA BERSIHKAN ATAU DIFORMAT. Download-lah atau instal antivirus yang updetannya terbaru dengan media removable yang bersih tentunya.
===Cara 2. Menggunakan AVG for Sality===
# Download rmsality (virus removal untuk virus sality dari Grisoft), berisi tiga file yang harus anda download ke dlm satu folder rmsality.exe ; rmsality.dos ; rmsality.nt berguna untuk mencabut header virus dari file terinfeksi
# Download fileASSASSIN Download Disini <Via Ziddu> berguna untuk mendelete file yang tidak bisa dihapus
dengan cara biasa
# Instal dan jalankan file ASSASSIN dan arahkan atau ketik di menu browsenya ke c:\windows\system32\wmdrtc32.dll delete file-nya di cheklist kemudian klik execute. ulangi untuk file yang kedua c:\windows\system32\wmdrtc32.dl_
# Jalankan program rmsality.exe yang sudah di download dan biarkan melakukan proses scanning secara keseluruhan.
# Setelah selesai anda akan mendapatkan beberapa file yang tidak bisa di clean (failed to clean) dan antivirus meminta anda untuk mereboot system.
# Reboot system anda. Biarkan rmsality melakukan proses scanning pada proses booting.
(anda juga bisa melakukan scanning per-drive dengan cara masuk ke menu run, kemudian ketik cmd, kemudian masuk ke direktori rmsality dimana anda menyimpannya, kemudian ketik contoh: rmsality c:)
# Untuk meyakinkan silahkan scan lagi dengan antivirus yang lain, seperti ANSAV, AVG, Avira, Smadav dll.
Klo aku sich pernah ngebersihin virus ini dengan cara 2 kemudian dilanjutkan ke cara 1 Wuuh Bersih abizz… kan Klo pakek Semua cara lebih Mantab. Semoga berhasil yaw…. 
Klo ada pertanyaan tentang sality silahkan bertanya di kolom komentar, Ntar saya usahain jawab dech. Insya Allah….
Dikutip dari yahoo answer dan diubah seperlunya.
Mas mau tanya, firewall windows xp2 sy tidak bisa dibuka/eror. Udah coba jelajah ke google ttp ga bisa. Kira2 jgn sampe di install ulang, soalnya ada program intern nya. Mhon penjelasanya.
Trims
mas saat saya jalankan file assasin, ternyata file yg akan di execute tidak ada,, bagaimana ini mas?? saya sudah pusing dgn virus ini,,
(
mas, pas saya jalankan file assasinnya, file yg mau di executenya ga ada,, bagaiman ini?? saya udh hopelesss
tanks ya…
atas saranya frinds…
@sob birin
Oke gan sama sama
kalo saya komputer jadi lemot terus saya masuk ke safe mode lalu saya backup data saya ke harddisk extrernal.
pertanyaan saya apakah kalau di back up gitu lewat safe mode virus nya nular ke harddisk external saya gak
@Muhammad Wito
Klo File .exenya Sudah terinfeksi Y Pasti HD Eksternalnya Juga akan Kena donk… walaupun si virus Tidak aktif Di Save Mode tapi Si Virus dah menginfeksi File.exe tersebut, Jadi Suatu saat Ketika Dijalankan Di windows Mode normal Maka file yang terinfeksi tersebut akan Beraksi Lagi
ini bisa dipake bwt windows7 gak gan?
soalnya cara 1 itu registry-fixnya cuma sampe XP…
@majesty
Bisa gan saya udah tes di windows 7 punya teman saya yang terkena sality and sekarang bisa cure kog
Gan ane mw tanya.. antivirus apa yg cocok buad bantai sality n newheur level(9) yang ada di flashdisk? d tunggu gan
d tunggu confirm nya di andre_vincy@yahoo.com
@sanz
Ehm kalo buat curing/penyembuhan pakek Sality removal gan bisa di download di SINI
Klo buat pencegahan bisa pakek AVIRA Premium Internet security suite
klo virus yang ngerusak file bisa diperbaiki lagi ga filenya, mohon penjelasannya.
@faisal
ehm virusnya apa dulu nich???? mungkin ane bisa membantu mencari solusinya
bang kalo virus nya udah masuk ke file” penting yang ada di windows 7 cara ngilanginnya gimana ,
please help me ..
@aizen
pakek removalnya gan
saya coba cara yg kedua juga gagal bos, file yg dimaksud diatas gk ada. trus ku paksaain instal nod32 malah gk bisa masuk windows
@Tri e
Kalo Virus sality Jangan Sampek pakek ativirus Yang biasa malah rusak file systemnya kedelete semua Tapi Pakek Removalnya
aku pake cara yg norman kok gagal yg bos, setalh restart pertama malah gk bisa ke widows ke safe mode juga gk bisa
@Tri
Itu dimungkinkan Karena sebelumnya File Systemnya Udha Kedelete ma Antivirus Lain, Pakek Removalnya Gan jangan antivirus, klo Pakek Antivirs File Systemnya Malah kedelete semua
mas kalo virus udah parah sampe windows security yang ngasih tau bukan software antivirusnya lagi gmn cara ngatasinnya?
saya takut folder2 pentingnya hilang
trimakasih
@luthfi
Wah gan segera masuk Ke safe mode disable sistem restorenya lalu Gunakan Removalnya(jangan Pakek Antivirus! ntar malah datanya kedelete semua)
mas booting safe modenya pas kapan nih?
@danie;
Pas mau masuk booting windows saat masih item2 tampilannya segera pencet terus F8
halo mas, kemarin saya sudah download 3 aplikasi anti sality dan sudah saya coba sesuai dengan cara yang mas jabarkan diatas,setelah saya scan dengan Norman Malware Cleaner [hampir 5 jam scan] memang benar dikomputer saya hampir semua file ..exe sudah terinfeksi sality. Dan memang benar file2 yang rusak telah diperbaiki oleh Norman Malware Cleaner dan 2 file tidak bisa discan, akan tetapi selang beberapa jam nyonya sality kembali berang dan buat ulah dengan menginfeksi kembali file2 exe. Wah saya hampir jadi ikutan berang mas, ada cara lain gak mas untuk mengatasi hal ini sebelum memakai langkah terakhir yaitu format hardisk? terimakasih
@kironggo
Scannya di dalam safe mode gan truz system restorenya dimatikan dulu
mas klo mengatasi virus alman gmn ya..??
udah ntu aja THX B4..
@dick dick
Untuk mengatasi virus alman mudah bang
- masuk ke safe mode…
- lalu gunain alman Virus removal (DOWNLOAD GIRSOFT ALMAN VIRUS REMOVAL) ~794kb
-extract filenya lalu scan dengan removalnya (alman.exe)
-setelah bersih lakukan sekali lagi agar benar2 bersih
-masuk ke normal windows scan pakek antivirusmu yang terupdate n terpercaya
wahh mantep nih, ijin kopas di forum ane yah bos
@mistervinblack
Oke bos tapi dikasih sumbernya lho..
nice info ,
sumbang koneksi internet anda hanya di : http://www.klik5x.blogspot.com
@fachri
Yupz Gan Thanks Dah maen Kesini
nie komputer Q kena virus yang merusak drive c ni… anti virus apa yang ampuh ya mas???
@mey
Nama Virusnyaa apa??? Ntar aq Cariin Insya Allah
mas mau tanya, kalo mau belajar tentang virus dan mengatasinya dmn ya???
komputerku sering skali kena virus…tp nda ada yg bs ngatasi…
trimakasih sebelumnya…
@Cristina
Wah Klo aku sich belajar Gituan Dari forum XCode ma Forum KaskUs…
Selebihnya coba2 nndiri
Klo biar komputernya g sering kena Virus aku beri Sedikit saran semoga bermanfaat:
1. firewall selalu dalam posisi “on”.
2. Gunakan antivirus lokal dan Internasianal secara bersama sama untuk mencegah virus lokal n luar… dan juga harus terupdate terus minimal seminggu sekali.
3. Mewaspadai media penyimpanan eksternal. klo bisa matikan fitur autorun pada removable disk.
4.Hati2 dalam mengunjungi situs tertentu. kadang berisi malware.
Ntu aja cukup untuk melindungi komputer kita dari serangan virus
4.
Mas, mau nanya, aku punya harddisk ekternal, dan aku share ke beberapa teman, ternyata didalamnya benar2 sudah terisi banyak virus (kloning folder gitu..) cara paling efektif untuk bersihin gimana ya, sementara harddisk itu memang harus di share di jaringan… mumet aku, matur nuwun
@Hendro
Mz Hendro klo saya boleh tau nama Virusnya apa maz… Biar aku bantu carikan antivirusnya ato removalnya.
klo aku pernah virus menggandakan folder dengan nama Microsoft dan Harry Potter bentuknya mirip Folder tapi berextensi .exe
Thanks
Saya sedang mencoba Smg brhasil
@MR R
Yapz Selamat Menikmati Hidangannya
weh bert sk komputer jg yah
ini fahmi speaking 1 punya fb ga?