Win32.Sality.AP.Gen

Ezen a néven a Sality vírus tipikus tagjait detektáljuk generikusan.

Fájlfertőző vírus, főbb jellemzői az alábbiak:

A %System% mappába másolja magát valamilyen néven .sys kiterjesztéssel.

Minden meghajtóra lemásolja magát a gyökér mappába és autorun.inf állományt készít hozzá.

A kérokozó .exe és .scr állományokat fertőz.

Képes letölteni egyéb variánsait távoli helyekről, pl:
ukikt.org/mainf.gif
ramoo.w8w.pl/mainh.gif
steamboy.h17.ru/mainf.gif
jrsx.jre.net.cn/logos.gif
macedonia.my1.ru/mainh.gif
lpbmx.ru/logos.gif
   
Az alábbi kulcs alatt bejegyzést készít:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   
Mutexeket hoz létre hasonló neveken:
uxJLpe1m
explorer.exeM_1180_
Op1mutx9
Ap1mutx7

Megváltoztat számtalan regisztrációs bejegyzést az alábbi kulcsok alatt (néhány példa):
KEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
   
Számos védelmi program futását leállítja.

Folyamatokat (szálakat) indít saját kódjával ismert neveken, mint pl notepad.exe, winmine.exe.