Антивирус - Windows без безопасного режима

Звучный червь Sigougou вносит множество изменений в Windows, значительно усложняя работу с антивирусами.

A Сигугу червь под названием sbsb.exe может быть размещен в системе. Как только он запустится, он изменит регистрационную базу данных. Создает, изменяет и удаляет в нем ключи и значения. Это предотвратит, среди прочего, запуск диспетчера задач Windows, отключение Центра обновления Windows и случайный запуск операционной системы в безопасном режиме и, возможно, попытку антивирусной защиты.

Sigougou распространяется в основном через сетевые диски и общие ресурсы. Вы пробуете заранее заданные пароли для подключения к удаленным компьютерам. Еще одна важная особенность червя - регулярная загрузка вредоносных файлов из Интернета.

Когда червь Sigougou запускается, он выполняет следующие действия:

1. Создайте следующие файлы:
   % System% \ sbsb.exe
   % SystemDrive% \ sbsb.exe
2. Создайте следующую запись в базе данных регистрации:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
   "Sbsb" = "% System% \ sbsb.exe"
3. Измените следующие значения в базе данных регистрации:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
   Система «DisableTaskMgr» = «01, 00, 00, 00»
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
   Система «DisableWindowsUpdateAccess» = «01, 00, 00, 00»
   Это делает диспетчер задач Windows недоступным и отключает Центр обновления Windows.
4. Вы вносите ряд изменений в следующий раздел реестра:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
   Параметры выполнения файла изображения \
5. Следующие записи удаляются из регистрационной базы данных:
   HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   Это предотвращает запуск Windows в безопасном режиме.
6. Он копирует собственные файлы на каждый локальный и сетевой диск. Вы пытаетесь подключиться к общим сетевым ресурсам, пробуя заранее заданные пароли.
7. Копирует файл с именем AutoRun.inf в корневой каталог каждого диска.
8. Он загружает различные файлы через Интернет.