Windows csökkentett mód nélkül
Hír küldése
A hangzatos nevű Sigougou féreg sok módosítást végez a Windowsban, és ezzel jelentősen megnehezíti a vírusirtást.
A Sigougou féreg sbsb.exe néven kerülhet rá a rendszerekre. Amint elindul, akkor a regisztrációs adatbázis módosításába fog. Ebben kulcsokat és értékeket hoz létre, változtat, illetve töröl. Ezzel eléri többek között, hogy a Windows Feladatkezelője ne legyen elindítható, a Windows frissítési szolgáltatása kikapcsolt állapotba kerüljön valamint, hogy az operációs rendszert még véletlenül se lehessen csökkentett módban elindítani, és esetleg így megpróbálni a vírusirtást.
A Sigougou elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. Előre meghatározott jelszavakat próbálgat annak érdekében, hogy kapcsolódni tudjon a távoli számítógépekhez. A féreg további fontos jellemzője, hogy az Internetről rendszeresen kártékony fájlokat töltöget le.
Amikor a Sigougou féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő fájlokat:
%System%\sbsb.exe
%SystemDrive%\sbsb.exe
2. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"sbsb" = "%System%\sbsb.exe"
3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "01, 00, 00, 00"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableWindowsUpdateAccess" = "01, 00, 00, 00"
Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét valamint letiltja a Windows Update szolgáltatást.
4. A regisztrációs adatbázis következő kulcsában számos módosítást végez:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
5. A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\"(default)" = "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\"(default)" = "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}\"(default)" = "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}\"(default)" = "DiskDrive"
Ezzel eléri, hogy a Windowst ne lehessen csökkentett módban elindítani.
6. Minden helyi és hálózati meghajtóra felmásolja a saját állományait. A hálózati megosztásokhoz előre meghatározott jelszavak próbálgatásával próbál kapcsolódni.
7. Minden meghajtó gyökér könyvtárába bemásol egy AutoRun.inf nevű állományt.
8. Interneten keresztül különböző fájlokat töltöget le.
Hozzászólások