این ویروس در چند ماه گذشته جزء شایع ترین ویروسها بوده است و انواع مختلفی دارد که با نام های مختلفی توسط برنامه های آنتی ویروس شناسایی می شود

نسخه های جدید آنتی ویروس Nod32 و همچین Kaspersky ممکن است ویروس فوق با نامهای Malas یا Sality.nar و یا P2p.Worm.Generic شناسایی کنند
این ویروس در نسخه های جدید با نام W32/Nahkos توسط آنتی ویروس پاندا شناسایی می شود . آنتی ویروس Avira Antivir این ویروس را با نام Worm.Malas.C می شناسد.
ویروس کش مک آفی(McAfee) این ویروس را با عنوان W32/Bindo.worm می شناسد .
آنتی ویروس سوفوس با نام Troj/Yusufali-A و آنتی‌ویروس كوئیك‌هیل با نام‌های “Win32.Malas.c” و “Win32.Malas.A” و “Trojan.Win32.VB.zu” این ویروس را شناسایی می کند.

این کامپوننت آلوده ، در واقع یک Device Driver میباشد که مانند یک rootkit در سطح کرنل سیستم عمل می کند و به ویروس اجازه می دهد که خودش و عملکردش را در سیستم مخفی کند .

 از آنجایی که این شیوه تنها در سیستمهای مبتنی بر ویندوز ان تی (Windows NT-based operating systems) قابل اجراست، لذا ویندوزهای NT/2000/XP/2003 در معرض آلودگی این ویروس هستند .

پراسسی SCVHOST.exe  پراسس اصلی ویروس می باشد . توجه کنید که نام SCVHOST.exe بسیار شبیه فایل سیستمی SVCHOST.exe میباشد وتنها دو حرف C و V جابجا شده اند .

 در واقع وجود یکی از پراسسهای زیر در سربرگ Processes ممکن است یکی از نشانه های آلودگی سیستم به ویروس Sality باشد.

این ویروس متن زیر را در فایل SYSTem.ini موجود در شاخه ویندوز اضافه می کند:

همچنین کلید رجیستری زیر را در رجیستری ویندوز ایجاد می کند که ترکیبی است از نام کامپیوتر و یک عدد سه رقمی تصادفی :

<HKCU\Software\<3 random numbers

مثلا :

در این کلید ویروس متغیرهای مورد استفاده خود را ایجاد می کند . در یکی از سیستمهای آلوده من مسیر رجیستری زیر را که توسط ویروس ایجاد شده بود یافتم :

که ACS-IR نام کامپیوتر و عدد 914 همان عدد سه رقمی تصادفی بود.

این ویروس همچنین کلیه درایوهای محلی و یا شبکه ای و یا قابل حمل مانند فلش دیسکهای متصل به سیستم را یافته و خود را در آنها کپی می کند .

 این ویروس همانند بسیاری از ویروسهای جدید با استفاده از ایجاد فایل Autorun.inf در درایوها و حافظه های فلش از این روش برای تکثیر خود بهره میگیرد .

وجود فایل Autorun.inf در هر نوع درایوی موجب می شود به محض دابل کلیک کردن بر روی درایو دستورات موجود در Autorun.inf اجرا شود که این دستورات ، دستوراتی شامل اجرای مجدد ویروس و تکثیر مجدد در کلیه درایوهاست .

 بارگذاری ویروسها و بد افزارهای دیگر

این ویروس با اتصال به برخی دامینها و سایتها ، بدافزارهای دیگری را نیز دانلود کرده و به سیستم آلوده منتقل می کند.

غیر فعال کردن Task Manager و Registry Editor و Show Hidden Files

 این ویروس ضمن از کار انداختن تسک منیجر Task Manager یا همان Alt+Ctrl+Delete موجب از کار افتادن ویرایشگر رجیستری (Regedit) نیز میگردد .در صورت آلوده شدن سیستم به این ویروس Folder Option نیز در مواقعی حذف می شود و یا در صورت وجود ، عملکرد نمایش فایهای مخفی و سیستمی نیز غیرفعال میگردد .

بالا نیامدن سیستم در حالت Safe Mode

این ویروس موجب می شود سیستم در حالت سیف مود (Safe Mode) نیز بالا نیاید و پس از چند لحظه ری استارت شود !

تخریب و آلوده کردن فایلهای SCR و EXE

از بدترین اعمالی که این ویروس انجام می دهد خراب کردن فایلهای اجرایی سیستم با پسوند exe و SCR میباشد بطوریکه اغلب فایلهای exe و SCR موجود در درایو C را آلوده کردن و کدهایی را در آنها تزریق می کند و در نتیجه فایهای فوق نیز بعنوان ویروس Sality شناخته می شوند و بکلی خراب می شوند .همچنین بسیاری از فایلهای اجرایی درایوهای دیگر را بطور تصادفی آلوده می کند .

حذف فایلها و بستن پراسسهای خاص

این ویروس همچنین ممکن است فایلهای با پسوندهای زیر را حذف کند :