El software de seguridad es desarmado por el gusano Zatyudi

El gusano Zatyudi se puede propagar con bastante rapidez en unidades extraíbles y recursos compartidos de red.

A Zatyudi worm primero crea algunos archivos y luego modifica el registro para que pueda cargarse automáticamente cada vez que se reinicia Windows. Luego copia varios archivos infectados en todas las unidades extraíbles y de red disponibles. Luego crea archivos ZIP que se colocan aleatoriamente en los directorios de la computadora infectada. Estos archivos contienen un archivo setup.exe.

El gusano Zatyudi recopila direcciones de correo electrónico de archivos con diferentes extensiones y luego se conecta a un servidor remoto. Para hacer esto, carga información del sistema a los atacantes. Una de las mayores amenazas para el gusano es que cierra los procesos y servicios asociados con el software de seguridad, lo que debilita significativamente la protección de los equipos que ya están infectados.

Cuando se inicia el gusano Zatyudi.A, realiza las siguientes acciones:

1. Cree los siguientes archivos:
   C: \ WINDOWS \ system32 \ [caracteres aleatorios] \ services.exe
   C: \ WINDOWS \ system32 \ [caracteres aleatorios] \ services.dat
   C: \ WINDOWS \ winlogon.exe
2. Agrega el siguiente valor a la base de datos de registro:
   HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run ”NT
   services ”=“ C: \ WINDOWS \ system32 \ [NÚMERO HEXADECIMAL DE 8 DÍGITOS] \ services.exe -update ”
3. Modifique la siguiente entrada en la base de datos de registro:
   HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = “Explorer.exe C: \ WINDOWS \ winlogon.exe”
   HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \
   "AlternateShell" = "winlogon.exe -safemode"
4. Recopila direcciones de correo electrónico de archivos con diferentes extensiones. Se guardan en el siguiente archivo: C: \ Reciclado. [Caracteres aleatorios] \ yudizat.zat
5. Se copia a sí mismo en unidades compartidas y almacenamiento extraíble utilizando los nombres de varios programas de software conocidos.
6. Crea archivos aleatoriamente con una extensión .zip en cada directorio de la computadora infectada. Estos archivos comprimidos contienen un archivo setup.exe.
7. Se conecta a servidores remotos predefinidos y notifica a los atacantes sobre la información más importante del sistema en la computadora infectada.
8. Descargue un archivo de imagen a través de Internet.
9. Detiene los procesos y servicios asociados con el software de seguridad.