Антивирус - Windows без безопасен режим
Звучният червей Sigougou прави много промени в Windows, правейки го много по-трудно за антивирусната програма.
A Сигугу червей, наречен sbsb.exe, може да бъде поставен в системите. Веднага след като стартира, той ще модифицира базата данни за регистрация. Създава, променя и изтрива ключове и стойности в него. Това ще предотврати, наред с други неща, диспечера на задачите на Windows да стартира, да изключи Windows Update и да не стартира случайно операционната система в безопасен режим и евентуално да направи опит за антивирусна защита.
Sigougou се разпространява предимно чрез мрежови устройства и споделяния. Опитвате предварително дефинирани пароли за свързване с отдалечени компютри. Друга важна характеристика на червея е, че той редовно изтегля злонамерени файлове от интернет.
Когато червеят Sigougou стартира, той извършва следните действия:
- Създайте следните файлове:
% Система% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Създайте следния запис в базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
"Sbsb" = "% System% \ sbsb.exe" - Променете следните стойности в базата данни за регистрация:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Система “DisableTaskMgr” = “01, 00, 00, 00”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Система “DisableWindowsUpdateAccess” = “01, 00, 00, 00”
Това прави Windows Task Manager недостъпен и деактивира Windows Update. - Правите редица промени в следния ключ в системния регистър:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Опции за изпълнение на графичен файл \ - Следните записи се изтриват от базата данни за регистрация:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
Това предотвратява стартирането на Windows в безопасен режим. - Той копира свои собствени файлове на всяко локално и мрежово устройство. Опитвате се да се свържете с мрежови споделяния, като опитате предварително дефинирани пароли.
- Копира файл с име AutoRun.inf в главната директория на всяко устройство.
- Той изтегля различни файлове през Интернет.
