A hangzatos nevű Sigougou féreg sok módosítást végez a Windowsban, és ezzel jelentősen megnehezíti a vírusirtást.

A Sigougou féreg sbsb.exe néven kerülhet rá a rendszerekre. Amint elindul, akkor a regisztrációs adatbázis módosításába fog. Ebben kulcsokat és értékeket hoz létre, változtat, illetve töröl. Ezzel eléri többek között, hogy a Windows Feladatkezelője ne legyen elindítható, a Windows frissítési szolgáltatása kikapcsolt állapotba kerüljön valamint, hogy az operációs rendszert még véletlenül se lehessen csökkentett módban elindítani, és esetleg így megpróbálni a vírusirtást.

 Vírushíradó - Windows csökkentett mód nélkül

A Sigougou elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. Előre meghatározott jelszavakat próbálgat annak érdekében, hogy kapcsolódni tudjon a távoli számítógépekhez. A féreg további fontos jellemzője, hogy az Internetről rendszeresen kártékony fájlokat töltöget le.

Amikor a Sigougou féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\sbsb.exe
    %SystemDrive%\sbsb.exe
  2. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    “sbsb” = “%System%\sbsb.exe”
  3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System”DisableTaskMgr” = “01, 00, 00, 00”
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
    System”DisableWindowsUpdateAccess” = “01, 00, 00, 00”
    Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét valamint letiltja a Windows Update szolgáltatást.
  4. A regisztrációs adatbázis következő kulcsában számos módosítást végez:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
    Image File Execution Options\
  5. A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    Ezzel eléri, hogy a Windowst ne lehessen csökkentett módban elindítani.
  6. Minden helyi és hálózati meghajtóra felmásolja a saját állományait. A hálózati megosztásokhoz előre meghatározott jelszavak próbálgatásával próbál kapcsolódni.
  7. Minden meghajtó gyökér könyvtárába bemásol egy AutoRun.inf nevű állományt.
  8. Interneten keresztül különböző fájlokat töltöget le.