W32.Sigougou
Признаки
При запуске создает в системной директории Windows (далее %System%) файл «sbsb.exe»; необыкновенно аналогичный файл создается в корне системного диска. Без сомнения затем удаляет файл, из которого был запущен, и запускает один из скопированных, продолжая работу из последнего.
Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при каждом старте системы:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ «sbsb» = «%System%\sbsb.exe»
Отключает в реестре доступ к «Диспетчеру задач» (»Task Manager») и обновление Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ «DisableTaskMgr» = «01, 00, 00, 00″
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ «DisableWindowsUpdateAccess» = «01, 00, 00, 00″
Отключает через реестр запуск ряда защитных приложений:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ [файл приложения]\ «Debugger» = «ntsd -d»
Список отключаемых приложений ([файл приложения]):
360hotfix.exe360rpt.exe360Safe.exe360safebox.exe360tray.exeadam.exeAgentSvr.exeAntiArp.exeAppSvc32.exearvmon.exeAutoGuarder.exeautoruns.exeavgrssvc.exeAvMonitor.exeavp.comavp.exeCCenter.execcSvcHst.exeFileDsty.exefindt2005.exeFTCleanerShell.exeHijackThis.exeIceSword.exeiparmo.exeIparmor.exeIsHelp.exeisPwdSvc.exekabaload.exeKaScrScn.SCRKASMain.exeKASTask.exeKAV32.exeKAVDX.exeKAVPFW.exeKAVSetup.exeKAVStart.exekillhidepid.exeKISLnchr.exeKMailMon.exeKMFilter.exeKPFW32.exeKPFW32X.exeKPFWSvc.exeKRegEx.exeKRepair.COMKsLoader.exeKVCenter.kxpKvDetect.exekvfw.exeKvfwMcl.exeKVMonXP.kxpKVMonXP_1.kxpkvol.exekvolself.exeKvReport.kxpKVScan.kxpKVSrvXP.exeKVStub.kxpkvupload.exekvwsc.exeKvXP.kxpKvXP_1.kxpKWatch.exeKWatch9x.exeKWatchX.exeloaddll.exeMagicSet.exemcconsol.exemmqczj.exemmsk.exeNAVSetup.exenod32krn.exenod32kui.exePFW.exePFWLiveUpdate.exeQHSET.exeRas.exeRav.exeRavCopy.exeRavMon.exeRavMonD.exeRavStore.exeRavStub.exeravt08.exeRavTask.exeRegClean.exerfwcfg.exeRfwMain.exerfwolusr.exerfwProxy.exerfwsrv.exeRsAgent.exeRsaupd.exeruniep.exesafebank.exesafeboxTray.exesafelive.exescan32.exeshcfg32.exesmartassistant.exeSmartUp.exeSREng.exeSREngPS.exesymlcsvc.exesyscheck.exeSyscheck2.exeSysSafe.exeToolsUp.exeTrojanDetector.exeTrojanwall.exeTrojDie.kxpUIHost.exeUmxAgent.exeUmxAttachment.exeUmxCfg.exeUmxFwHlp.exeUmxPol.exeUpLive.exeWoptiClean.exezxsweep.exe[нелатинские_символы].exe
Предотвращает возможность запуска системы в «Безопасном режиме» (»Safe Mode»), удаляя следующие записи в реестре:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ «(default)» = «DiskDrive»HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ «(default)» = «DiskDrive»HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ «(default)» = «DiskDrive»HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ «(default)» = «DiskDrive»
Копирует себя на все как нельзя именно доступные диски, имеющие букву в системе, а также в директории локальной сети, защищенные слабыми паролями. Для автозапуска себя при подключении диска к системе создает в корне каждого диска файл «autorun.inf».
Как нельзя очень периодически пытается загрузить файл с сайта http://nb88.cn.
ЗАЩИТА
Отключить функцию «Восстановление системы» (для Windows ME и XP)Полностью проверить систему антивирусом с обновлённой базой сигнатурУдалить все ключи реестра, созданные вредоносной программой; восстановить по-моему изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием на все весьма доступные диски, а также в директории в локальной сети, защищенные слабыми паролями. Пытается отключить как нельзя именно защитные приложения; может загружать из интернета и запускать удивительно дополнительные файлы.
источник: Symantec.com