Antivirus - Windows ohne abgesicherten Modus

Der sonore Sigougou-Wurm nimmt viele Änderungen an Windows vor, wodurch es viel schwieriger wird, einen Virenschutz zu finden.

A Sigougou ein Wurm namens sbsb.exe kann auf Systemen platziert werden. Sobald es gestartet wird, ändert es die Registrierungsdatenbank. Erstellt, ändert und löscht darin Schlüssel und Werte. Dadurch wird unter anderem verhindert, dass der Windows Task-Manager gestartet, Windows Update deaktiviert und das Betriebssystem nicht versehentlich im abgesicherten Modus gestartet wird und möglicherweise der Virenschutz versucht wird.

Sigougou verbreitet sich hauptsächlich über Netzlaufwerke und -freigaben. Sie versuchen vordefinierte Kennwörter, um eine Verbindung zu Remotecomputern herzustellen. Ein weiteres wichtiges Merkmal des Wurms ist, dass er regelmäßig schädliche Dateien aus dem Internet herunterlädt.

Wenn der Sigougou-Wurm startet, führt er die folgenden Aktionen aus:

1. Erstellen Sie die folgenden Dateien:
   % System% \ sbsb.exe
   % SystemDrive% \ sbsb.exe
2. Erstellen Sie in der Registrierungsdatenbank folgenden Eintrag:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   "Sbsb" = "%System%\sbsb.exe"
3. Ändern Sie die folgenden Werte in der Registrierungsdatenbank:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Policies \
   System „DisableTaskMgr“ = „01, 00, 00, 00“
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Currentversion \ Policies \
   System „WindowsUpdateAccess deaktivieren“ = „01, 00, 00, 00“
   Dies macht den Windows Task-Manager unzugänglich und deaktiviert Windows Update.
4. Sie nehmen eine Reihe von Änderungen am folgenden Registrierungsschlüssel vor:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Currentversion \
   Ausführungsoptionen für Bilddateien \
5. Folgende Einträge werden aus der Registrierungsdatenbank gelöscht:
   HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   Dadurch wird verhindert, dass Windows im abgesicherten Modus startet.
6. Es kopiert seine eigenen Dateien auf jedes lokale und Netzlaufwerk. Sie versuchen, eine Verbindung zu Netzwerkfreigaben herzustellen, indem Sie vordefinierte Kennwörter ausprobieren.
7. Kopiert eine Datei namens AutoRun.inf in das Stammverzeichnis jedes Laufwerks.
8. Es lädt verschiedene Dateien über das Internet herunter.