Netsky.R se propaga a través de correo electrónico en un mensaje con las siguientes características:
Asunto:
Re: Document (número aleatorio)
Cuerpo de texto:
Excuse me,
the important document is attached,
Yours sincerely
Archivo adjunto:
Document (número aleatorio).pif
En caso de que el usuario ejecute el archivo, el gusano se envía a todas las direcciones que recoge en archivos que se encuentren almacenados en el equipo, y que tengan las extensiones: .eml, .txt, .php, .asp, .wab, .doc, .sht, .oft, .msg, .vbs, .rtf, .uin, .shtm, .cgi, .dhtm, .adb, .tbb, .dbx, .pl, .htm, .html, .jsp, .wsh, .xml, .cfg, .mbx, .mdx, .mht, .mmf, .nch, .ods, .stm, .xls, y .ppt.
Además, Netsky.R crea un archivo en el directorio de Windows con el nombre PandaAVEngine.exe, que, en realidad, contiene una copia del gusano. De esta manera, Netsky.R intenta confundir al usuario de forma que crea que se trata de un fichero perteneciente a alguno de los productos antivirus de Panda Software. Sin embargo, esto no es así, por lo que, cuando el antivirus lo detecte, puede procederse a su eliminación sin mayor problema.
Cuando el primer archivo es ejecutado se generan otros dos ficheros en el equipo, llamados temp09094283.dll y uinmzertinmds.opm. Además, Netsky.R ha sido diseñado para lanzar ataques de denegación de servicio (DoS) -entre los días 12 y 16 de abril- contra las direcciones: www.emule.de; www.cracks.am; www.emule-project.net; www.kazaa.com; y www.keygen.us.
Finalmente, Netsky.R introduce una entrada en el registro de Windows y borra otras muchas relacionadas con las infecciones provocadas por gusanos como Mydoom, Bagle o Mimail.
|