Antivírus - Windows bez núdzového režimu

Zvučný červ Sigougou robí vo Windows veľa zmien, vďaka čomu je antivírus oveľa ťažší.

A Sigougou na systémy je možné umiestniť červa s názvom sbsb.exe. Hneď ako začne, zmení registračnú databázu. V ňom vytvára, mení a vymazáva kľúče a hodnoty. To okrem iného zabráni spusteniu Správcu úloh systému Windows, vypnutiu služby Windows Update a nie náhodnému spusteniu operačného systému v núdzovom režime a prípadnému pokusu o antivírusovú ochranu.

Sigougou distribuuje predovšetkým prostredníctvom sieťových diskov a akcií. Na pripojenie k vzdialeným počítačom vyskúšate preddefinované heslá. Ďalšou dôležitou vlastnosťou červa je, že pravidelne sťahuje škodlivé súbory z internetu.

Keď sa červ Sigougou spustí, vykoná nasledujúce akcie:

1. Vytvorte nasledujúce súbory:
   % System% \ sbsb.exe
   % SystemDrive% \ sbsb.exe
2. Vytvorte nasledujúci záznam v registračnej databáze:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
   "sbsb" = "%System%\sbsb.exe"
3. V registračnej databáze upravte nasledujúce hodnoty:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
   System”DisableTaskMgr” = “01, 00, 00, 00”
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
   Systém"DisableWindowsUpdateAccess" = "01, 00, 00, 00"
   Vďaka tomu je Správca úloh systému Windows neprístupný a deaktivuje službu Windows Update.
4. V nasledujúcom kľúči databázy registry vykonáte niekoľko zmien:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
   Možnosti spustenia súboru s obrázkom \
5. Nasledujúce položky sa odstránia z registračnej databázy:
   HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
   {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
   To zabraňuje spusteniu systému Windows v núdzovom režime.
6. Skopíruje vlastné súbory na každú miestnu a sieťovú jednotku. Pokúšate sa pripojiť k zdieľaným sieťam pomocou preddefinovaných hesiel.
7. Skopíruje súbor s názvom AutoRun.inf do koreňového adresára každej jednotky.
8. Cez internet sťahuje rôzne súbory.