Антивирус - Windows без безопасного режима
Звучный червь Sigougou вносит множество изменений в Windows, значительно усложняя работу с антивирусами.
A Сигугу червь под названием sbsb.exe может быть размещен в системе. Как только он запустится, он изменит регистрационную базу данных. Создает, изменяет и удаляет в нем ключи и значения. Это предотвратит, среди прочего, запуск диспетчера задач Windows, отключение Центра обновления Windows и случайный запуск операционной системы в безопасном режиме и, возможно, попытку антивирусной защиты.
Sigougou распространяется в основном через сетевые диски и общие ресурсы. Вы пробуете заранее заданные пароли для подключения к удаленным компьютерам. Еще одна важная особенность червя - регулярная загрузка вредоносных файлов из Интернета.
Когда червь Sigougou запускается, он выполняет следующие действия:
- Создайте следующие файлы:
% System% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Создайте следующую запись в базе данных регистрации:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
"Sbsb" = "% System% \ sbsb.exe" - Измените следующие значения в базе данных регистрации:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Система «DisableTaskMgr» = «01, 00, 00, 00»
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Система «DisableWindowsUpdateAccess» = «01, 00, 00, 00»
Это делает диспетчер задач Windows недоступным и отключает Центр обновления Windows. - Вы вносите ряд изменений в следующий раздел реестра:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Параметры выполнения файла изображения \ - Следующие записи удаляются из регистрационной базы данных:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
Это предотвращает запуск Windows в безопасном режиме. - Он копирует собственные файлы на каждый локальный и сетевой диск. Вы пытаетесь подключиться к общим сетевым ресурсам, пробуя заранее заданные пароли.
- Копирует файл с именем AutoRun.inf в корневой каталог каждого диска.
- Он загружает различные файлы через Интернет.