Хробак Zatyudi відключає програмне забезпечення безпеки

Хробак Zatyudi може досить швидко поширюватися на знімних дисках і мережевих ресурсах.

A Затюди черв'як спочатку створює деякі файли, а потім змінює реєстр, щоб його можна було автоматично завантажувати під час кожного перезавантаження Windows. Потім він копіює різні заражені файли на всі доступні знімні та мережеві диски. Після цього він створює ZIP-файли, які випадковим чином розміщує в каталогах зараженого комп’ютера. Ці файли містять файл setup.exe.

Хробак Zatyudi збирає адреси електронної пошти з файлів з різними розширеннями, а потім підключається до віддаленого сервера. Він завантажує системну інформацію для зловмисників. Однією з найбільших небезпек хробака є те, що він зупиняє процеси та служби, що належать програмному забезпеченню безпеки, тим самим значно послаблюючи захист уже заражених комп’ютерів.

При запуску хробак Затюди.А виконує такі дії:

1. Створює такі файли:
   C:\WINDOWS\system32\[випадкові символи]\services.exe
   C:\WINDOWS\system32\[випадкові символи]\services.dat
   C:\WINDOWS\winlogon.exe
2. Додайте таке значення до реєстру:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” NT
   services” = “C:\WINDOWS\system32\[8-ЦИФРОВЕ ШІСТНАДЦЯТКОВЕ ЧИСЛО]\services.exe -оновлення”
3. Змініть наступний запис у реєстраційній базі даних:
   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe C:\WINDOWS\winlogon.exe”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
   «AlternateShell» = «winlogon.exe -safemode»
4. Збирає адреси електронної пошти з файлів із різними розширеннями. Вони зберігаються в такому файлі: C:\Recycled.[випадкові символи]\yudizat.zat
5. Він копіюється на спільні диски та знімні носії, використовуючи назви різного відомого програмного забезпечення.
6. Він випадковим чином створює файли з розширенням .zip у деяких каталогах зараженого комп’ютера. Ці стиснені файли містять файл setup.exe.
7. Він підключається до попередньо визначених віддалених серверів і надсилає сповіщення зловмисникам про найважливішу системну інформацію зараженого комп’ютера.
8. Завантажує файл зображення через Інтернет.
9. Він зупиняє процеси та служби, що належать програмному забезпеченню безпеки.