A Zatyudi féreg cserélhető meghajtókon és hálózati megosztásokon meglehetősen gyors terjedésre képes.
A Zatyudi féreg első lépésben néhány fájlt hoz létre, majd módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ezt követően különböző fertőzött állományokat másol be az összes elérhető cserélhető és hálózati meghajtóra. Ezt követően ZIP fájlokat készít, melyeket véletlenszerűen a fertőzött számítógép könyvtáraiban helyez el. Ezek az állományok egy setup.exe fájlt tartalmaznak.
A Zatyudi féreg különböző kiterjesztésű állományokból email címeket gyűjt össze, majd csatlakozik egy távoli szerverhez. Erre rendszerinformációkat tölt fel a támadók számára. A féreg egyik legnagyobb veszélye, hogy biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le, és ezzel jelentősen meggyengíti a már amúgy is fertőzött számítógépek védelmét.
Amikor a Zatyudi.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
C:\WINDOWS\system32\[véletlenszerű karakterek]\services.exe
C:\WINDOWS\system32\[véletlenszerű karakterek]\services.dat
C:\WINDOWS\winlogon.exe - A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”NT
services” = “C:\WINDOWS\system32\[8-DIGIT HEXADECIMAL NUMBER]\services.exe -update” - A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe C:\WINDOWS\winlogon.exe”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
“AlternateShell” = “winlogon.exe -safemode” - Különböző kiterjesztésű állományokból email címeket gyűjt össze. Ezeket a következő fájlba menti el: C:\Recycled.[véletlenszerű karakterek]\yudizat.zat
- A megosztott meghajtókra és a cserélhető adattárolókra felmásolja saját magát különböző ismert szoftverek nevének felhasználásával.
- Véletlenszerűen létrehoz .zip kiterjesztésű állományokat a fertőzött számítógép egyes könyvtáraiba. Ezek a tömörített fájlok egy setup.exe állományt tartalmaznak.
- Csatlakozik előre meghatározott távoli szerverekhez, és értesítést küld a támadóknak a fertőzött számítógép legfontosabb rendszerinformációiról.
- Interneten keresztül letölt egy képfájlt.
- Biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le.