Biztonsági szoftvereket hatástalanít a Zatyudi féreg
A Zatyudi féreg cserélhető meghajtókon és hálózati megosztásokon meglehetősen gyors terjedésre képes.
A Zatyudi féreg első lépésben néhány fájlt hoz létre, majd módosítja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindulásakor automatikusan be tudjon töltődni. Ezt követően különböző fertőzött állományokat másol be az összes elérhető cserélhető és hálózati meghajtóra. Ezt követően ZIP fájlokat készít, melyeket véletlenszerűen a fertőzött számítógép könyvtáraiban helyez el. Ezek az állományok egy setup.exe fájlt tartalmaznak.
A Zatyudi féreg különböző kiterjesztésű állományokból email címeket gyűjt össze, majd csatlakozik egy távoli szerverhez. Erre rendszerinformációkat tölt fel a támadók számára. A féreg egyik legnagyobb veszélye, hogy biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le, és ezzel jelentősen meggyengíti a már amúgy is fertőzött számítógépek védelmét.
Amikor a Zatyudi.A féreg elindul, akkor az alábbi műveleteket hajtja végre:
-
Létrehozza a következő fájlokat:
C:\WINDOWS\system32\[véletlenszerű karakterek]\services.exe
C:\WINDOWS\system32\[véletlenszerű karakterek]\services.dat
C:\WINDOWS\winlogon.exe -
A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”NT
services” = “C:\WINDOWS\system32\[8-DIGIT HEXADECIMAL NUMBER]\services.exe -update” -
A regisztrációs adatbázisban módosítja az alábbi bejegyzést:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe C:\WINDOWS\winlogon.exe”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
“AlternateShell” = “winlogon.exe -safemode” -
Különböző kiterjesztésű állományokból email címeket gyűjt össze. Ezeket a következő fájlba menti el: C:\Recycled.[véletlenszerű karakterek]\yudizat.zat
-
A megosztott meghajtókra és a cserélhető adattárolókra felmásolja saját magát különböző ismert szoftverek nevének felhasználásával.
-
Véletlenszerűen létrehoz .zip kiterjesztésű állományokat a fertőzött számítógép egyes könyvtáraiba. Ezek a tömörített fájlok egy setup.exe állományt tartalmaznak.
-
Csatlakozik előre meghatározott távoli szerverekhez, és értesítést küld a támadóknak a fertőzött számítógép legfontosabb rendszerinformációiról.
-
Interneten keresztül letölt egy képfájlt.
-
Biztonsági szoftverekhez tartozó folyamatokat és szolgáltatásokat állít le.