Показать сообщение отдельно
Старый 23.04.2010, 20:05   #2
Tuflya07
Гуру
 
Аватар для Tuflya07
 
Регистрация: 07.10.2007
Ресивер: Openbox X-800
Сообщений: 10,465
Сказал(а) спасибо: 2,818
Поблагодарили 5,637 раз(а) в 4,437 сообщениях
Вес репутации: 48
Tuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордитсяTuflya07 за этого человека можно гордится
По умолчанию

Trojan.Win32. Cosmu.kkl

22 апреля, 2010


Вредоносная программа, предназначенная для рассылки спама по электронной почте через компьютер-жертву.
Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%system%\<rnd>.exe
Где <rnd> - произвольная последовательность из символов латинского алфавита.

Для автоматического запуска при каждом следующем старте системы вредоносная программа регистрирует себя в системе как сервис, создавая при этом следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Программа изменяет настройки встроенного в ОС Windows сетевого экрана, добавляя себя в список доверенных приложений.

Деструктивная активность

Далее программа соединяется с одним из следующих адресов:
208.72.168.209
78.109.18.194
fdhehktkrhd.biz
С этих адресов программа в зашифрованном виде получает письма со спамом, которые ей следует отправить и отправляет. Для этого программа использует один из следующих почтовых серверов:
mail.ru
google.com
yahoo.com
microsoft.com
__________________
Tuflya07 вне форума   Ответить с цитированием