Antivirus - Windows senza modalità provvisoria
Il sonoro worm Sigougou apporta molte modifiche a Windows, rendendo molto più difficile l'antivirus.
A Sigugou un worm chiamato sbsb.exe può essere posizionato sui sistemi. Appena avviato, modificherà il database di registrazione. In esso, crea, modifica ed elimina chiavi e valori. Ciò impedirà, tra le altre cose, l'avvio di Task Manager di Windows, la disattivazione di Windows Update e l'avvio accidentale del sistema operativo in modalità provvisoria e, eventualmente, il tentativo di protezione antivirus.
Sigougou si diffonde principalmente attraverso unità di rete e condivisioni. Si prova password predefinite per connettersi a computer remoti. Un'altra importante caratteristica del worm è che scarica regolarmente file dannosi da Internet.
Quando il worm Sigougou si avvia, esegue le seguenti azioni:
- Crea i seguenti file:
% System% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Creare la seguente voce nel database di registrazione:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
“sbsb” = “%System%\sbsb.exe” - Modifica i seguenti valori nel database di registrazione:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
System”DisableTaskMgr” = “01, 00, 00, 00”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
System”DisableWindowsUpdateAccess” = “01, 00, 00, 00”
Ciò rende inaccessibile il Task Manager di Windows e disabilita Windows Update. - Apporta una serie di modifiche alla seguente chiave nel registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Opzioni di esecuzione file immagine \ - Le seguenti voci vengono eliminate dal database di registrazione:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Rete \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
Ciò impedisce a Windows di avviarsi in modalità provvisoria. - Copia i propri file su ogni unità locale e di rete. Si tenta di connettersi alle condivisioni di rete provando password predefinite.
- Copia un file denominato AutoRun.inf nella directory principale di ogni unità.
- Scarica vari file su Internet.