A Cymdos trójai szolgáltatásmegtagadási támadások végrehajtására képes a fertőzött számítógépeken.
A Cymdos trójai nem törekszik észrevétlen működésre. Amint megfertőz egy számítógépet, akkor azon különféle folyamatokat állít le, és egyes esetekben – meghatározott címsorral rendelkező – ablakokat zárogat be. Ezt követően elindít egy Internet Explorer folyamatot, majd betölt egy kártékony dll állományt.
A Cymdos az Interneten keresztül egy konfigurációs állományt is letölt, amelynek alapján a trójai terjesztői távolról vezérelhetik a kártékony programjuk működését.
Amikor a Cymdos trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlokat:
%System%\mycc080406.dll
%System%\mycc080406.exe - A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policie
s\Explorer\\\un”myccgj” = “rundll32.exe %System%\mycc080406.dll bgdll” - Leállítja az alábbi folyamatokat (amennyiben azok léteznek):
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe - Minden olyan ablakot bezár, amelyek címsorában szerepelnek az alábbi szavak:
Rising
Jiangmin - Elindítja az Internet Explorert, és betölti a következő állományt:
%System%\mycc32.dll - Interneten keresztül letölt egy konfigurációs állományt, majd elmenti azt a következők szerint:
%Windir%\cc16.ini