نوع : کرم اینترنتی
محيطهاي قابل اجرا: Windows 2000,XP,NT,....
خصوصيات :

این ویروس 57344 با آلوده کردن فایل های اجرایی با پسوند exe خودش را منتشر می کند . این ویروس چند ریختی از درون خودش فایل های زیر بیرون می کشد

%WinDir%\System32\drivers\[حروف تصادفی].sys (W32/Sality.u)
%WinDir%\System32\[حروف تصادفی].dll (W32/Sality.t)
%WinDir%\System32\[حروف تصادفی].dl_

فایل DLL مورد نظر را به برنامه های اجرایی دیگر تزریق کرده
فایل Sys مورد نظر را با استفاده از کلید زیر در رجیستری به عنوان یک driver جدید با نام MCIDRV_2600_6_0 ثبت می کند

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
HKLM\SYSTEM\ControlSet001\Services\MCIDRV_2600_6_0
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IPFILTERDRIVER
HKLM\SYSTEM\CurrentControlSet\Services\MCIDRV_2600_6_0

با حذف کلید رجیستری زیر از بالا آمدن سیستم به صورت Safe Mode جلو گیری می کند

HKLM\SYSTEM\ControlSet001\Control\SafeBoot

برای برداشتن اجازه اجرای فایل های اجرایی در ویندوز ویستا کلید رجیستری زیر اضافه می کند

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA = 0x00000000