Biztonsági szoftvereket hatástalanít a Zatyudi féreg

A Zatyudi féreg cserélhető meghajtókon és hálózati megosztásokon meglehetősen gyors terjedésre képes.

A Zatyudi féreg első lépésben néhány fájlt hoz létre, majd módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ezt követően különböző fertőzött állományokat másol be az összes elérhető cserélhető és hálózati meghajtóra. Ezt követően ZIP fájlokat készít, melyeket véletlenszerűen a fertőzött számítógép könyvtáraiban helyez el. Ezek az állományok egy setup.exe fájlt tartalmaznak.

A Zatyudi féreg különböző kiterjesztésű állományokból email címeket gyűjt  össze, majd csatlakozik egy távoli szerverhez. Erre rendszerinformációkat tölt fel a támadók számára. A féreg egyik legnagyobb veszélye, hogy biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le, és ezzel jelentősen meggyengíti a már amúgy is fertőzött számítógépek védelmét.

Amikor a Zatyudi.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
   C:\WINDOWS\system32\[véletlenszerű karakterek]\services.exe
   C:\WINDOWS\system32\[véletlenszerű karakterek]\services.dat
   C:\WINDOWS\winlogon.exe
2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”NT
   services” = “C:\WINDOWS\system32\[8-DIGIT HEXADECIMAL NUMBER]\services.exe -update”
3. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe C:\WINDOWS\winlogon.exe”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
   “AlternateShell” = “winlogon.exe -safemode”
4. Különböző kiterjesztésű állományokból email címeket gyűjt össze. Ezeket a következő fájlba menti el: C:\Recycled.[véletlenszerű karakterek]\yudizat.zat
5. A megosztott meghajtókra és a cserélhető adattárolókra felmásolja saját magát különböző ismert szoftverek nevének felhasználásával.
6. Véletlenszerűen létrehoz .zip kiterjesztésű állományokat a fertőzött számítógép egyes könyvtáraiba. Ezek a tömörített fájlok egy setup.exe állományt tartalmaznak.
7. Csatlakozik előre meghatározott távoli szerverekhez, és értesítést küld a támadóknak a fertőzött számítógép legfontosabb rendszerinformációiról.
8. Interneten keresztül letölt egy képfájlt.
9. Biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le.