A Cymdos trójai szolgáltatásmegtagadási támadások végrehajtására képes a fertőzött számítógépeken.

A Cymdos trójai nem törekszik észrevétlen működésre. Amint megfertőz egy számítógépet, akkor azon különféle folyamatokat állít le, és egyes esetekben - meghatározott címsorral rendelkező - ablakokat zárogat be. Ezt követően elindít egy Internet Explorer folyamatot, majd betölt egy kártékony dll állományt.

A Cymdos az Interneten keresztül egy konfigurációs állományt is letölt, amelynek alapján a trójai terjesztői távolról vezérelhetik a kártékony programjuk működését.

Amikor a Cymdos trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlokat:
%System%\mycc080406.dll
%System%\mycc080406.exe

2. A regisztrációs adatbázishoz hozzáadja a következő bejegyzést:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policie
s\Explorer\run\"myccgj"
= "rundll32.exe %System%\mycc080406.dll bgdll"

3. Leállítja az alábbi folyamatokat (amennyiben azok léteznek)
RUNIEP.EXE
KRegEx.exe
KVXP.kxp
360tray.exe

4. Minden olyan ablakot bezár, amelyek címsorában szerepelnek az alábbi szavak:
Rising
Jiangmin

5.   Elindítja az Internet Explorert, és betölti a következő állományt:
%System%\mycc32.dll

6. Interneten keresztül letölt egy konfigurációs állományt, majd elmenti azt a következők szerint:
%Windir%\cc16.ini