Trojan.Win32. Cosmu.kkl

Вредоносная программа, предназначенная для рассылки спама по электронной почте через компьютер-жертву.

Вредоносная программа, предназначенная для рассылки спама по электронной почте через компьютер-жертву.

Инсталляция

При запуске программа копирует свой исполняемый файл в корневой каталог Windows:

%system%\<rnd>.exe
Где <rnd> - произвольная последовательность из символов латинского алфавита.

Для автоматического запуска при каждом следующем старте системы вредоносная программа регистрирует себя в системе как сервис, создавая при этом следующие ключи реестра:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.

Программа изменяет настройки встроенного в ОС Windows сетевого экрана, добавляя себя в список доверенных приложений.


Деструктивная активность

Далее программа соединяется с одним из следующих адресов:

208.72.168.209
78.109.18.194
fdhehktkrhd.biz
С этих адресов программа в зашифрованном виде получает письма со спамом, которые ей следует отправить и отправляет. Для этого программа использует один из следующих почтовых серверов:
mail.ru
google.com
yahoo.com
microsoft.com