Oprogramowanie zabezpieczające zostało rozbrojone przez robaka Zatyudi
Robak Zatyudi może dość szybko rozprzestrzeniać się na dyskach wymiennych i udziałach sieciowych.
A Zatiudi Robak najpierw tworzy kilka plików, a następnie modyfikuje rejestr, aby mógł się automatycznie ładować przy każdym ponownym uruchomieniu systemu Windows. Następnie kopiuje różne zainfekowane pliki na wszystkie dostępne dyski wymienne i sieciowe. Następnie tworzy pliki ZIP, które są losowo umieszczane w katalogach zainfekowanego komputera. Pliki te zawierają plik setup.exe.
Robak Zatyudi zbiera adresy e-mail z plików o różnych rozszerzeniach, a następnie łączy się ze zdalnym serwerem. Aby to zrobić, przesyła informacje o systemie do atakujących. Jednym z największych zagrożeń dla robaka jest to, że zamyka on procesy i usługi związane z oprogramowaniem zabezpieczającym, znacznie osłabiając ochronę komputerów, które są już zainfekowane. .
Po uruchomieniu robaka Zatyudi.A wykonuje następujące czynności:
- Utwórz następujące pliki:
C: \ WINDOWS \ system32 \ [losowe znaki] \ services.exe
C: \ WINDOWS \ system32 \ [losowe znaki] \ services.dat
C: \ WINDOWS \ winlogon.exe - Dodaje następującą wartość do bazy danych rejestracji:
HKEY_LOCAL_MACHINE \ OPROGRAMOWANIE \ Microsoft \ Windows \ Bieżąca wersja \ Uruchom ”NT
services ”=„ C: \ WINDOWS \ system32 \ [8-CYFROWA LICZBA SZESN.] \ services.exe -update ” - Zmodyfikuj następujący wpis w bazie danych rejestracji:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon „Shell” = „Explorer.exe C: \ WINDOWS \ winlogon.exe”
HKEY_LOCAL_MACHINE SYSTEM \ CurrentControlSet \ Control \ SafeBoot \
„AlternateShell” = „winlogon.exe -safemode” - Zbiera adresy e-mail z plików o różnych rozszerzeniach. Są one zapisywane w następującym pliku: C: \ Recycled [Znaki losowe] \ yudizat.zat
- Kopiuje się na dyski współdzielone i wymienne urządzenia pamięci masowej przy użyciu różnych znanych nazw oprogramowania.
- Losowo tworzy pliki z rozszerzeniem .zip w każdym katalogu na zainfekowanym komputerze. Te skompresowane pliki zawierają plik setup.exe.
- Łączy się z predefiniowanymi zdalnymi serwerami i powiadamia atakujących o najważniejszych informacjach systemowych na zainfekowanym komputerze.
- Pobierz plik obrazu przez Internet.
- Zatrzymuje procesy i usługi związane z oprogramowaniem zabezpieczającym.