Antywirus — Windows bez trybu awaryjnego

Dźwięczny robak Sigougou wprowadza wiele zmian w systemie Windows, znacznie utrudniając ochronę antywirusową.

A Sigougou W systemach można umieścić robaka o nazwie sbsb.exe. Zaraz po uruchomieniu zmodyfikuje bazę danych rejestracyjnych. W nim tworzy, zmienia i usuwa klucze i wartości. Zapobiegnie to m.in. uruchomieniu Menedżera zadań Windows, wyłączeniu Windows Update, przypadkowemu uruchomieniu systemu operacyjnego w trybie awaryjnym i ewentualnej próbie ochrony antywirusowej.

Sigougou dystrybuuje głównie za pośrednictwem dysków sieciowych i udziałów. Wypróbuj wstępnie zdefiniowane hasła, aby połączyć się z komputerami zdalnymi. Inną ważną cechą robaka jest to, że regularnie pobiera on złośliwe pliki z Internetu.

Po uruchomieniu robak Sigougou wykonuje następujące czynności:

1. Utwórz następujące pliki:
   % System% \ sbsb.exe
   % SystemDrive% \ sbsb.exe
2. Utwórz następujący wpis w bazie danych rejestracji:
   HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Sbsb" = "% System% \ sbsb.exe"
3. Zmodyfikuj następujące wartości w bazie danych rejestracji:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
   System „DisableTaskMgr” = „01, 00, 00, 00”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
   System „DisableWindowsUpdateAccess” = „01, 00, 00, 00”
   Sprawia to, że Menedżer zadań systemu Windows jest niedostępny i wyłącza usługę Windows Update.
4. Wprowadzasz szereg zmian w następującym kluczu rejestru:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
   Opcje wykonania pliku obrazu \
5. Z bazy danych rejestracji usuwane są następujące wpisy:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Sieć\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot Minimalny
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Sieć\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   Zapobiega to uruchamianiu systemu Windows w trybie awaryjnym.
6. Kopiuje własne pliki na każdy dysk lokalny i sieciowy. Próbujesz połączyć się z udziałami sieciowymi, próbując wstępnie zdefiniowanych haseł.
7. Kopiuje plik o nazwie AutoRun.inf do katalogu głównego każdego dysku.
8. Pobiera różne pliki przez Internet.