Sélectionner une page

Antivirus - Windows sans mode sans échec

Écrit par: | 2008 novembre 17 | | 0 |

Le ver sonore Sigougou apporte de nombreuses modifications à Windows, ce qui rend beaucoup plus difficile l'antivirus.

A Sigougou un ver appelé sbsb.exe peut être placé sur les systèmes. Dès son démarrage, il modifiera la base de données d'inscription. Crée, modifie et supprime les clés et les valeurs qu'il contient. Cela empêchera, entre autres, le démarrage du Gestionnaire des tâches de Windows, la désactivation de Windows Update, le démarrage accidentel du système d'exploitation en mode sans échec et éventuellement la tentative de protection antivirus.

 Antivirus - Windows sans mode sans échec

Sigougou distribue principalement via des lecteurs réseau et des partages. Vous essayez des mots de passe prédéfinis pour vous connecter à des ordinateurs distants. Une autre caractéristique importante du ver est qu'il télécharge régulièrement des fichiers malveillants à partir d'Internet.

Lorsque le ver Sigougou démarre, il effectue les actions suivantes :

  1. Créez les fichiers suivants :
    % System% \ sbsb.exe
    % SystemDrive% \ sbsb.exe
  2. Créez l'entrée suivante dans la base de données d'enregistrement :
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \
    "sbsb" = "%Système%\sbsb.exe"
  3. Modifiez les valeurs suivantes dans la base de données d'inscription :
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
    Système « DisableTaskMgr » = « 01, 00, 00, 00 »
    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \
    Système « Désactiver WindowsUpdateAccess » = « 01, 00, 00, 00 »
    Cela rend le Gestionnaire des tâches Windows inaccessible et désactive Windows Update.
  4. Vous apportez un certain nombre de modifications à la clé de registre suivante :
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
    Options d'exécution du fichier image \
  5. Les entrées suivantes sont supprimées de la base de données d'enregistrement :
    HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Minimal \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Control \ SafeBoot \ Network \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Network \
    {4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
    Cela empêche Windows de démarrer en mode sans échec.
  6. Il copie ses propres fichiers sur chaque lecteur local et réseau. Vous essayez de vous connecter aux partages réseau en essayant des mots de passe prédéfinis.
  7. Copie un fichier nommé AutoRun.inf dans le répertoire racine de chaque lecteur.
  8. Il télécharge divers fichiers sur Internet.
En lisant: 1 800

Mesure:

A propos de l'auteur

Adhérents

Articles Similaires

Defraggler : La deuxième génération est née

Defraggler : La deuxième génération est née

2010-11-11

La version candidate d'Internet Explorer 9 arrive bientôt

La version candidate d'Internet Explorer 9 arrive bientôt

2011-01-31

GMail est le plus populaire !

GMail est le plus populaire !

2012-11-05

NecroVisioN : style FPS anti-douleur de la Première Guerre mondiale

NecroVisioN : style FPS anti-douleur de la Première Guerre mondiale

2009-02-14

bannière

AcheterBestGear

Hirdetes

ranvée

Appareils électroménagers Ranvee