Antivirus: Windows sin modo seguro
El sonoro gusano Sigougou realiza muchos cambios en Windows, lo que dificulta mucho el antivirus.
A Sigougou un gusano llamado sbsb.exe se puede colocar en los sistemas. Tan pronto como se inicie, modificará la base de datos de registro. Crea, cambia y elimina claves y valores en él. Esto evitará, entre otras cosas, que el Administrador de tareas de Windows se inicie, apague Windows Update y no inicie accidentalmente el sistema operativo en modo seguro y posiblemente intente la protección antivirus.
Sigougou distribuye principalmente a través de unidades y recursos compartidos de red. Prueba contraseñas predefinidas para conectarse a equipos remotos. Otra característica importante del gusano es que descarga regularmente archivos maliciosos de Internet.
Cuando se inicia el gusano Sigougou, realiza las siguientes acciones:
- Cree los siguientes archivos:
% Sistema% \ sbsb.exe
% SystemDrive% \ sbsb.exe - Cree la siguiente entrada en la base de datos de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
"Sbsb" = "% System% \ sbsb.exe" - Modifique los siguientes valores en la base de datos de registro:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Sistema "DisableTaskMgr" = "01, 00, 00, 00"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
Sistema "DisableWindowsUpdateAccess" = "01, 00, 00, 00"
Esto hace que el Administrador de tareas de Windows sea inaccesible y deshabilita Windows Update. - Realiza una serie de cambios en la siguiente clave del registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Opciones de ejecución de archivos de imagen \ - Las siguientes entradas se eliminan de la base de datos de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
Esto evita que Windows se inicie en modo seguro. - Copia sus propios archivos en cada unidad local y de red. Intenta conectarse a recursos compartidos de red probando contraseñas predefinidas.
- Copia un archivo llamado AutoRun.inf en el directorio raíz de cada unidad.
- Descarga varios archivos a través de Internet.