防病毒 - 没有安全模式的 Windows
响亮的四狗沟蠕虫对 Windows 进行了许多更改,使其更难防病毒。
A 四沟 一种名为 sbsb.exe 的蠕虫可以放置在系统上。 一旦启动,它就会修改注册数据库。 在其中,它创建、更改和删除键和值。 这将防止 Windows 任务管理器启动、关闭 Windows 更新,以及在安全模式下意外启动操作系统,以及可能尝试防病毒保护。
四狗狗主要通过网络驱动和共享进行分发。 您尝试使用预定义的密码连接到远程计算机。 该蠕虫的另一个重要特征是它会定期从 Internet 下载恶意文件。
当四狗狗蠕虫启动时,它会执行以下操作:
- 创建以下文件:
%系统%\sbsb.exe
% SystemDrive%\sbsb.exe - 在注册数据库中创建以下条目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
“sbsb”=“%System%\sbsb.exe” - 修改注册数据库中的以下值:
HKEY_CURRENT_USER \ SOFTWARE \微软\的Windows \ CurrentVersion \政策\
系统“DisableTaskMgr”=“01”
HKEY_CURRENT_USER \ SOFTWARE \微软\的Windows \ CurrentVersion \政策\
系统“DisableWindowsUpdateAccess”=“01”
这会使 Windows 任务管理器无法访问并禁用 Windows 更新。 - 您对以下注册表项进行了大量更改:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
图像文件执行选项 \ - 以下条目将从注册数据库中删除:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}”(default)” = “DiskDrive”
这可以防止 Windows 以安全模式启动。 - 它将自己的文件复制到每个本地和网络驱动器。 您尝试通过尝试预定义的密码连接到网络共享。
- 将名为 AutoRun.inf 的文件复制到每个驱动器的根目录。
- 它通过 Internet 下载各种文件。
