Trojan.Win32. Cosmu.kkl
22 апреля, 2010
Вредоносная программа, предназначенная для рассылки спама по электронной почте через компьютер-жертву.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%system%\<rnd>.exe
Где <rnd> - произвольная последовательность из символов латинского алфавита.
Для автоматического запуска при каждом следующем старте системы вредоносная программа регистрирует себя в системе как сервис, создавая при этом следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
Программа изменяет настройки встроенного в ОС Windows сетевого экрана, добавляя себя в список доверенных приложений.
Деструктивная активность
Далее программа соединяется с одним из следующих адресов:
208.72.168.209
78.109.18.194
fdhehktkrhd.biz
С этих адресов программа в зашифрованном виде получает письма со спамом, которые ей следует отправить и отправляет. Для этого программа использует один из следующих почтовых серверов:
mail.ru
google.com
yahoo.com
microsoft.com
__________________
|