安全软件被 Zatyudi 蠕虫解除武装

Zatyudi 蠕虫可以在可移动驱动器和网络共享上快速传播。

A 扎秋迪 该蠕虫首先创建一些文件，然后修改注册表，以便它可以在每次 Windows 重新启动时自动加载。 然后它将各种受感染的文件复制到所有可用的可移动和网络驱动器。 然后它会创建随机放置在受感染计算机目录中的 ZIP 文件。 这些文件包含一个 setup.exe 文件。

Zatyudi 蠕虫从具有不同扩展名的文件中收集电子邮件地址，然后连接到远程服务器。 为此，它会将系统信息上传给攻击者。 该蠕虫最大的威胁之一是它会关闭与安全软件相关的进程和服务，从而显着削弱对已感染计算机的保护。

当 Zatyudi.A 蠕虫启动时，它会执行以下操作：

1. 创建以下文件：
   C:\WINDOWS\system32\[随机字符]\services.exe
   C:\WINDOWS\system32\[随机字符]\services.dat
   C:\WINDOWS\winlogon.exe
2. 将以下值添加到注册数据库：
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\运行”NT
   services” = “C:\WINDOWS\system32\[8 位十六进制数字]\services.exe -update”
3. 修改注册数据库中的以下条目：
   HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon”Shell” = “Explorer.exe C:\WINDOWS\winlogon.exe”
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
   “AlternateShell”=“winlogon.exe -安全模式”
4. 从具有不同扩展名的文件中收集电子邮件地址。 它们被保存到以下文件：C:\Recycled.[随机字符]\yudizat.zat
5. 它使用各种已知软件程序的名称将自身复制到共享驱动器和可移动存储。
6. 它会在受感染计算机的每个目录中随机创建扩展名为 .zip 的文件。 这些压缩文件包含一个 setup.exe 文件。
7. 它连接到预定义的远程服务器，并将受感染计算机上最重要的系统信息通知攻击者。
8. 通过 Internet 下载图像文件。
9. 停止与安全软件相关的进程和服务。