Antywirus — Windows bez trybu awaryjnego
Dźwięczny robak Sigougou wprowadza wiele zmian w systemie Windows, znacznie utrudniając ochronę antywirusową.
A Sigougou W systemach można umieścić robaka o nazwie sbsb.exe. Zaraz po uruchomieniu zmodyfikuje bazę danych rejestracyjnych. W nim tworzy, zmienia i usuwa klucze i wartości. Zapobiegnie to m.in. uruchomieniu Menedżera zadań Windows, wyłączeniu Windows Update, przypadkowemu uruchomieniu systemu operacyjnego w trybie awaryjnym i ewentualnej próbie ochrony antywirusowej.
Sigougou dystrybuuje głównie za pośrednictwem dysków sieciowych i udziałów. Wypróbuj wstępnie zdefiniowane hasła, aby połączyć się z komputerami zdalnymi. Inną ważną cechą robaka jest to, że regularnie pobiera on złośliwe pliki z Internetu.
Po uruchomieniu robak Sigougou wykonuje następujące czynności:
- Utwórz następujące pliki:
% System% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Utwórz następujący wpis w bazie danych rejestracji:
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ CurrentVersion \ Run \
"Sbsb" = "% System% \ sbsb.exe" - Zmodyfikuj następujące wartości w bazie danych rejestracji:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
System „DisableTaskMgr” = „01, 00, 00, 00”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
System „DisableWindowsUpdateAccess” = „01, 00, 00, 00”
Sprawia to, że Menedżer zadań systemu Windows jest niedostępny i wyłącza usługę Windows Update. - Wprowadzasz szereg zmian w następującym kluczu rejestru:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Opcje wykonania pliku obrazu \ - Z bazy danych rejestracji usuwane są następujące wpisy:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Sieć\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot Minimalny
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Sieć\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
Zapobiega to uruchamianiu systemu Windows w trybie awaryjnym. - Kopiuje własne pliki na każdy dysk lokalny i sieciowy. Próbujesz połączyć się z udziałami sieciowymi, próbując wstępnie zdefiniowanych haseł.
- Kopiuje plik o nazwie AutoRun.inf do katalogu głównego każdego dysku.
- Pobiera różne pliki przez Internet.