Antivirus - Windows bez sigurnog načina rada
Zvonki crv Sigougou čini brojne promjene u sustavu Windows, čineći ga mnogo težim za antivirusne programe.
A Sigougou crv zvan sbsb.exe može se postaviti na sustave. Čim započne, izmijenit će registracijsku bazu podataka. Stvara, mijenja i briše ključeve i vrijednosti u njemu. To će, između ostalog, spriječiti pokretanje Windows Task Manager-a, isključivanje Windows Update-a i nehotično pokretanje operativnog sustava u sigurnom načinu te eventualni pokušaj antivirusne zaštite.
Sigougou se širi prvenstveno mrežnim pogonima i dionicama. Pokušavate unaprijed definirane lozinke za povezivanje s udaljenim računalima. Druga važna značajka crva je da redovito preuzima zlonamjerne datoteke s Interneta.
Kada se crv Sigougou pokrene, on izvršava sljedeće radnje:
- Stvorite sljedeće datoteke:
% Sustav% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Stvorite sljedeći unos u bazi podataka za registraciju:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
“sbsb” = “%System%\sbsb.exe” - Izmijenite sljedeće vrijednosti u registracijskoj bazi podataka:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Sustav”DisableTaskMgr” = “01, 00, 00, 00”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Sustav "Onemogući WindowsUpdateAccess" = "01, 00, 00, 00"
To čini Windows Task Manager nepristupačnim i onemogućava Windows Update. - Naredite nekoliko izmjena u sljedećem ključu registra:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Opcije izvršavanja slikovne datoteke \ - Sljedeći se unosi brišu iz baze podataka o registraciji:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
To sprječava pokretanje sustava Windows u sigurnom načinu. - Kopira vlastite datoteke na svaki lokalni i mrežni pogon. Pokušavate se povezati s mrežnim dijeljenjima isprobavanjem unaprijed definiranih lozinki.
- Kopira datoteku pod nazivom AutoRun.inf u korijenski direktorij svakog pogona.
- Preuzima razne datoteke putem Interneta.