Trojan.Win32. Cosmu.kkl
Trojan.Win32. Cosmu.kkl
Alexander Antipov
Вредоносная программа, предназначенная для рассылки спама по электронной почте через компьютер-жертву.
Вредоносная программа, предназначенная для рассылки спама по электронной почте через компьютер-жертву.
Инсталляция
При запуске программа копирует свой исполняемый файл в корневой каталог Windows:
%system%\<rnd>.exeГде <rnd> - произвольная последовательность из символов латинского алфавита.
Для автоматического запуска при каждом следующем старте системы вредоносная программа регистрирует себя в системе как сервис, создавая при этом следующие ключи реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"<rnd>" = "<filepath>"
Где <filepath> - путь к файлу с вредоносной программой.
"<rnd>" = "<filepath>"
Программа изменяет настройки встроенного в ОС Windows сетевого экрана, добавляя себя в список доверенных приложений.
name="doc3">
Деструктивная активность
Далее программа соединяется с одним из следующих адресов:
208.72.168.209С этих адресов программа в зашифрованном виде получает письма со спамом, которые ей следует отправить и отправляет. Для этого программа использует один из следующих почтовых серверов:
78.109.18.194
fdhehktkrhd.biz
mail.ru
google.com
yahoo.com
microsoft.com
Цифровые следы - ваша слабость, и хакеры это знают.