Mengatasi sality

Virus ini di sebut juga worm 32 sality, biasa menular lewat flashdisk dan LAN
Diketemukan pada 06/08/2008, dengan Type file infector (Menjadi aktif di memory dan akan menjadi
resistent serta berbentuk file exe)

Penularan Secara umum Melalui
• Local network
• Mapped network drives (flasdisk/Memory Card/Eksternal Hardrive)

Sudah dideteksi oleh :
• Symantec : W32.Sality.AE
• Mcafee : W32/Sality.gen
• Kaspersky : Virus.Win32.Sality.aa
• TrendMicro: PE_SALITY.JER
• F-Secure : Virus.Win32.Sality.aa
• Sophos : W32/Sality-AM
• Panda : W32/Sality.AK
• VirusBuster: Sality.AQ.Gen
• Bitdefender: Win32.Sality.OG

Efek samping:
• Memperlemah keamanan system.
• Memodifikasi Registry menjadi.
Task manager tidak bisa dibuka.
Registry Editor tidak bisa terbuka.
Antivirus tidak berfungsi dan tidak bisa di Update, diinstal juga tidak bisa sama sekali.
Firewall juga tidak jalan.
Folder Option di windows explorer juga akan hilang.

Di bawah ini adalah posisi w32/sality.Y di registry windows :

Registry The value of the following registry key is removed :

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


It creates the following entry in order to bypass the Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
• "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"


The following registry key is added:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001


The following registry keys are changed:

– [HKLM\SOFTWARE\Microsoft\Security Center]
Old value:
• "AntiVirusDisableNotify"=dword:00000000
• "FirewallDisableNotify"=dword:00000000
• "UpdatesDisableNotify"=dword:00000000
• "AntiVirusOverride"=dword:00000000
• "FirewallOverride"=dword:00000000
New value:
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
• "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Old value:
• "Hidden"=dword:00000001
New value:
• "Hidden"=dword:00000002

Cara membersihkannya :
1. Gunakan remover sality yang dijalankan dari cd, remover sality yang biasa saya gunakan dari AVG, Kaspersky, Norman dan Norton. tunggu semua proses selesai. Sabar menunggu adalah kunci utama.
2. Setelah selasai lakukan perbaikan registry yang di rusak oleh sality (repair.inf)
3. Restore semua registry yang hilang (software ada di link download)
4. Install antivirus avira Product version 10 or higher version
5. Scanning semua drive yang ada...sampai selesai, akan muncul "repair all" klik repair all
6. Cek Link Download ada beberapa software yang dibutuhkan tersedia disitu. 

Selamat mencoba, semoga bermanfaat