A Zatyudi féreg cserélhető meghajtókon és hálózati megosztásokon meglehetősen gyors terjedésre képes.

A Zatyudi féreg első lépésben néhány fájlt hoz létre, majd módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ezt követően különböző fertőzött állományokat másol be az összes elérhető cserélhető és hálózati meghajtóra. Ezt követően ZIP fájlokat készít, melyeket véletlenszerűen a fertőzött számítógép könyvtáraiban helyez el. Ezek az állományok egy setup.exe fájlt tartalmaznak.

A Zatyudi féreg különböző kiterjesztésű állományokból email címeket gyűjt  össze, majd csatlakozik egy távoli szerverhez. Erre rendszerinformációkat tölt fel a támadók számára. A féreg egyik legnagyobb veszélye, hogy biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le, és ezzel jelentősen meggyengíti a már amúgy is fertőzött számítógépek védelmét.

Biztonsági szoftvereket hatástalanít a Zatyudi féreg

Amikor a Zatyudi.A féreg elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    C:\WINDOWS\system32\[véletlenszerű karakterek]\services.exe
    C:\WINDOWS\system32\[véletlenszerű karakterek]\services.dat
    C:\WINDOWS\winlogon.exe
  2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”NT
    services” = “C:\WINDOWS\system32\[8-DIGIT HEXADECIMAL NUMBER]\services.exe -update”
  3. A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe C:\WINDOWS\winlogon.exe”
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
    “AlternateShell” = “winlogon.exe -safemode”
  4. Különböző kiterjesztésű állományokból email címeket gyűjt össze. Ezeket a következő fájlba menti el: C:\Recycled.[véletlenszerű karakterek]\yudizat.zat
  5. A megosztott meghajtókra és a cserélhető adattárolókra felmásolja saját magát különböző ismert szoftverek nevének felhasználásával.
  6. Véletlenszerűen létrehoz .zip kiterjesztésű állományokat a fertőzött számítógép egyes könyvtáraiba. Ezek a tömörített fájlok egy setup.exe állományt tartalmaznak.
  7. Csatlakozik előre meghatározott távoli szerverekhez, és értesítést küld a támadóknak a fertőzött számítógép legfontosabb rendszerinformációiról.
  8. Interneten keresztül letölt egy képfájlt.
  9. Biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le.