Vírushíradó – Windows csökkentett mód nélkül
A hangzatos nevű Sigougou féreg sok módosítást végez a Windowsban, és ezzel jelentősen megnehezíti a vírusirtást.
A Sigougou féreg sbsb.exe néven kerülhet rá a rendszerekre. Amint elindul, akkor a regisztrációs adatbázis módosításába fog. Ebben kulcsokat és értékeket hoz létre, változtat, illetve töröl. Ezzel eléri többek között, hogy a Windows Feladatkezelője ne legyen elindítható, a Windows frissítési szolgáltatása kikapcsolt állapotba kerüljön valamint, hogy az operációs rendszert még véletlenül se lehessen csökkentett módban elindítani, és esetleg így megpróbálni a vírusirtást.
A Sigougou elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. Előre meghatározott jelszavakat próbálgat annak érdekében, hogy kapcsolódni tudjon a távoli számítógépekhez. A féreg további fontos jellemzője, hogy az Internetről rendszeresen kártékony fájlokat töltöget le.
Amikor a Sigougou féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\sbsb.exe
%SystemDrive%\sbsb.exe - A regisztrációs adatbázisban létrehozza a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“sbsb” = “%System%\sbsb.exe” - A regisztrációs adatbázisban módosítja az alábbi értékeket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System”DisableTaskMgr” = “01, 00, 00, 00”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System”DisableWindowsUpdateAccess” = “01, 00, 00, 00”
Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét valamint letiltja a Windows Update szolgáltatást. - A regisztrációs adatbázis következő kulcsában számos módosítást végez:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\ - A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
Ezzel eléri, hogy a Windowst ne lehessen csökkentett módban elindítani. - Minden helyi és hálózati meghajtóra felmásolja a saját állományait. A hálózati megosztásokhoz előre meghatározott jelszavak próbálgatásával próbál kapcsolódni.
- Minden meghajtó gyökér könyvtárába bemásol egy AutoRun.inf nevű állományt.
- Interneten keresztül különböző fájlokat töltöget le.
