Seleziona pagina

Antivirus - Windows senza modalità provvisoria

Scritto da: | 2008 novembre 17 | | 0 |

Il sonoro worm Sigougou apporta molte modifiche a Windows, rendendo molto più difficile l'antivirus.

A Sigugou un worm chiamato sbsb.exe può essere posizionato sui sistemi. Appena avviato, modificherà il database di registrazione. In esso, crea, modifica ed elimina chiavi e valori. Ciò impedirà, tra le altre cose, l'avvio di Task Manager di Windows, la disattivazione di Windows Update e l'avvio accidentale del sistema operativo in modalità provvisoria e, eventualmente, il tentativo di protezione antivirus.

 Antivirus - Windows senza modalità provvisoria

Sigougou si diffonde principalmente attraverso unità di rete e condivisioni. Si prova password predefinite per connettersi a computer remoti. Un'altra importante caratteristica del worm è che scarica regolarmente file dannosi da Internet.

Quando il worm Sigougou si avvia, esegue le seguenti azioni:

  1. Crea i seguenti file:
    % System% \ sbsb.exe
    % SystemDrive% \ sbsb.exe
  2. Creare la seguente voce nel database di registrazione:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
    “sbsb” = “%System%\sbsb.exe”
  3. Modifica i seguenti valori nel database di registrazione:
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
    System”DisableTaskMgr” = “01, 00, 00, 00”
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
    System”DisableWindowsUpdateAccess” = “01, 00, 00, 00”
    Ciò rende inaccessibile il Task Manager di Windows e disabilita Windows Update.
  4. Apporta una serie di modifiche alla seguente chiave nel registro:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
    Opzioni di esecuzione file immagine \
  5. Le seguenti voci vengono eliminate dal database di registrazione:
    HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Rete \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    Ciò impedisce a Windows di avviarsi in modalità provvisoria.
  6. Copia i propri file su ogni unità locale e di rete. Si tenta di connettersi alle condivisioni di rete provando password predefinite.
  7. Copia un file denominato AutoRun.inf nella directory principale di ogni unità.
  8. Scarica vari file su Internet.
Lettura: 1 800

Misurare:

Circa l'autore

Si aggrappa

Articoli correlati

Defraggler: è nata la seconda generazione

Defraggler: è nata la seconda generazione

2010-11-11

La versione candidata di Internet Explorer 9 è in arrivo

La versione candidata di Internet Explorer 9 è in arrivo

2011-01-31

Gmail è il più popolare!

Gmail è il più popolare!

2012-11-05

NecroVisioN: stile antidolorifico FPS della prima guerra mondiale

NecroVisioN: stile antidolorifico FPS della prima guerra mondiale

2009-02-14

bandiera

AcquistaBestGear

Anno Domini

ranvé

Elettrodomestici Ranvee