A Cymdos trójai szolgáltatásmegtagadási támadások végrehajtására képes a fertőzött számítógépeken.

A Cymdos trójai nem törekszik észrevétlen működésre. Amint megfertőz egy számítógépet, akkor azon különféle folyamatokat állít le, és egyes esetekben – meghatározott címsorral rendelkező – ablakokat zárogat be. Ezt követően elindít egy Internet Explorer folyamatot, majd betölt egy kártékony dll állományt.

A Cymdos az Interneten keresztül egy konfigurációs állományt is letölt, amelynek alapján a trójai terjesztői távolról vezérelhetik a kártékony programjuk működését.

Ablakokra allergiás a Cymdos trójai

Amikor a Cymdos trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlokat:
    %System%\mycc080406.dll
    %System%\mycc080406.exe
  2. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policie
    s\Explorer\\\un”myccgj” = “rundll32.exe %System%\mycc080406.dll bgdll”
  3. Leállítja az alábbi folyamatokat (amennyiben azok léteznek):
    RUNIEP.EXE
    KRegEx.exe
    KVXP.kxp
    360tray.exe
  4. Minden olyan ablakot bezár, amelyek címsorában szerepelnek az alábbi szavak:
    Rising
    Jiangmin
  5. Elindítja az Internet Explorert, és betölti a következő állományt:
    %System%\mycc32.dll
  6. Interneten keresztül letölt egy konfigurációs állományt, majd elmenti azt a következők szerint:
    %Windir%\cc16.ini