W32.Sigougou

Признаки:
При запуске создает в системной директории Windows (далее %System%) файл "sbsb.exe"; аналогичный файл создается в корне системного диска. Затем удаляет файл, из которого был запущен, и запускает один из скопированных, продолжая работу из последнего.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при каждом старте системы:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ "sbsb" = "%System%\sbsb.exe"

Отключает в реестре доступ к "Диспетчеру задач" ("Task Manager") и обновление Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableTaskMgr" = "01, 00, 00, 00"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System\ "DisableWindowsUpdateAccess" = "01, 00, 00, 00"

Отключает через реестр запуск ряда защитных приложений:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ [файл приложения]\ "Debugger" = "ntsd -d"

Список отключаемых приложений ([файл приложения]):
* 360hotfix.exe
* 360rpt.exe
* 360Safe.exe
* 360safebox.exe
* 360tray.exe
* adam.exe
* AgentSvr.exe
* AntiArp.exe
* AppSvc32.exe
* arvmon.exe
* AutoGuarder.exe
* autoruns.exe
* avgrssvc.exe
* AvMonitor.exe
* avp.com
* avp.exe
* CCenter.exe
* ccSvcHst.exe
* FileDsty.exe
* findt2005.exe
* FTCleanerShell.exe
* HijackThis.exe
* IceSword.exe
* iparmo.exe
* Iparmor.exe
* IsHelp.exe
* isPwdSvc.exe
* kabaload.exe
* KaScrScn.SCR
* KASMain.exe
* KASTask.exe
* KAV32.exe
* KAVDX.exe
* KAVPFW.exe
* KAVSetup.exe
* KAVStart.exe
* killhidepid.exe
* KISLnchr.exe
* KMailMon.exe
* KMFilter.exe
* KPFW32.exe
* KPFW32X.exe
* KPFWSvc.exe
* KRegEx.exe
* KRepair.COM
* KsLoader.exe
* KVCenter.kxp
* KvDetect.exe
* kvfw.exe
* KvfwMcl.exe
* KVMonXP.kxp
* KVMonXP_1.kxp
* kvol.exe
* kvolself.exe
* KvReport.kxp
* KVScan.kxp
* KVSrvXP.exe
* KVStub.kxp
* kvupload.exe
* kvwsc.exe
* KvXP.kxp
* KvXP_1.kxp
* KWatch.exe
* KWatch9x.exe
* KWatchX.exe
* loaddll.exe
* MagicSet.exe
* mcconsol.exe
* mmqczj.exe
* mmsk.exe
* NAVSetup.exe
* nod32krn.exe
* nod32kui.exe
* PFW.exe
* PFWLiveUpdate.exe
* QHSET.exe
* Ras.exe
* Rav.exe
* RavCopy.exe
* RavMon.exe
* RavMonD.exe
* RavStore.exe
* RavStub.exe
* ravt08.exe
* RavTask.exe
* RegClean.exe
* rfwcfg.exe
* RfwMain.exe
* rfwolusr.exe
* rfwProxy.exe
* rfwsrv.exe
* RsAgent.exe
* Rsaupd.exe
* runiep.exe
* safebank.exe
* safeboxTray.exe
* safelive.exe
* scan32.exe
* shcfg32.exe
* smartassistant.exe
* SmartUp.exe
* SREng.exe
* SREngPS.exe
* symlcsvc.exe
* syscheck.exe
* Syscheck2.exe
* SysSafe.exe
* ToolsUp.exe
* TrojanDetector.exe
* Trojanwall.exe
* TrojDie.kxp
* UIHost.exe
* UmxAgent.exe
* UmxAttachment.exe
* UmxCfg.exe
* UmxFwHlp.exe
* UmxPol.exe
* UpLive.exe
* WoptiClean.exe
* zxsweep.exe
* [нелатинские_символы].exe

Предотвращает возможность запуска системы в "Безопасном режиме" ("Safe Mode"), удаляя следующие записи в реестре:
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ "(default)" = "DiskDrive"
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ "(default)" = "DiskDrive"
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ "(default)" = "DiskDrive"
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}\ "(default)" = "DiskDrive"

Копирует себя на все доступные диски, имеющие букву в системе, а также в директории локальной сети, защищенные слабыми паролями. Для автозапуска себя при подключении диска к системе создает в корне каждого диска файл "autorun.inf".

Периодически пытается загрузить файл с сайта http://nb88.cn.


ЗАЩИТА:
* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)


Действие:
Червь для платформы Windows. Распространяется копированием на все доступные диски, а также в директории в локальной сети, защищенные слабыми паролями. Пытается отключить защитные приложения; может загружать из интернета и запускать дополнительные файлы.