Antivirus - Windows bez nouzového režimu
Zvučný červ Sigougou provádí ve Windows mnoho změn, takže antivirus je mnohem těžší.
A Sigougou na systémy lze umístit červ s názvem sbsb.exe. Jakmile začne, upraví registrační databázi. V něm vytváří, mění a odstraňuje klíče a hodnoty. Tím se mimo jiné zabrání tomu, aby Správce úloh systému Windows spustil, vypnul službu Windows Update a nechtěně nespustil operační systém v nouzovém režimu a případně se pokusil o antivirovou ochranu.
Sigougou distribuuje především prostřednictvím síťových disků a sdílených složek. K připojení ke vzdáleným počítačům zkoušíte předdefinovaná hesla. Další důležitou vlastností červa je, že pravidelně stahuje škodlivé soubory z internetu.
Když červ Sigougou spustí, provede následující akce:
- Vytvořte následující soubory:
% System% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Vytvořte následující položku v registrační databázi:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
"Sbsb" = "% System% \ sbsb.exe" - Upravte následující hodnoty v registrační databázi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
System ”DisableTaskMgr” = “01, 00, 00, 00”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
System ”DisableWindowsUpdateAccess” = „01, 00, 00, 00”
To činí Správce úloh systému Windows nepřístupným a zakazuje službu Windows Update. - Provedete řadu změn v následujícím klíči registru:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WINDOWSNT \ CurrentVersion \
Možnosti spuštění souboru obrázku \ - Z registrační databáze jsou odstraněny následující položky:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
To zabrání spuštění systému Windows v nouzovém režimu. - Zkopíruje vlastní soubory na každou místní a síťovou jednotku. Pokoušíte se připojit k síťovým sdíleným položkám pomocí předdefinovaných hesel.
- Zkopíruje soubor s názvem AutoRun.inf do kořenového adresáře každé jednotky.
- Stahuje různé soubory přes internet.