Vírushíradó – Windows csökkentett mód nélkül

A hangzatos nevű Sigougou féreg sok módosítást végez a Windowsban, és ezzel jelentősen megnehezíti a vírusirtást.

A Sigougou féreg sbsb.exe néven kerülhet rá a rendszerekre. Amint elindul, akkor a regisztrációs adatbázis módosításába fog. Ebben kulcsokat és értékeket hoz létre, változtat, illetve töröl. Ezzel eléri többek között, hogy a Windows Feladatkezelője ne legyen elindítható, a Windows frissítési szolgáltatása kikapcsolt állapotba kerüljön valamint, hogy az operációs rendszert még véletlenül se lehessen csökkentett módban elindítani, és esetleg így megpróbálni a vírusirtást.

A Sigougou elsősorban hálózati meghajtókon, illetve megosztásokon keresztül terjed. Előre meghatározott jelszavakat próbálgat annak érdekében, hogy kapcsolódni tudjon a távoli számítógépekhez. A féreg további fontos jellemzője, hogy az Internetről rendszeresen kártékony fájlokat töltöget le.

Amikor a Sigougou féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   %System%\sbsb.exe
   %SystemDrive%\sbsb.exe
2. A regisztrációs adatbázisban létrehozza a következő bejegyzést:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   “sbsb” = “%System%\sbsb.exe”
3. A regisztrációs adatbázisban módosítja az alábbi értékeket:
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
   System”DisableTaskMgr” = “01, 00, 00, 00”
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
   System”DisableWindowsUpdateAccess” = “01, 00, 00, 00”
   Ezzel elérhetetlenné teszi a Windows Feladatkezelőjét valamint letiltja a Windows Update szolgáltatást.
4. A regisztrációs adatbázis következő kulcsában számos módosítást végez:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\
5. A regisztrációs adatbázisból kitörli az alábbi bejegyzéseket:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   Ezzel eléri, hogy a Windowst ne lehessen csökkentett módban elindítani.
6. Minden helyi és hálózati meghajtóra felmásolja a saját állományait. A hálózati megosztásokhoz előre meghatározott jelszavak próbálgatásával próbál kapcsolódni.
7. Minden meghajtó gyökér könyvtárába bemásol egy AutoRun.inf nevű állományt.
8. Interneten keresztül különböző fájlokat töltöget le.