Il worm Netsky.R è la nuova variante del codice maligno protagonista, insieme alle famiglie dei worm Mydoom e Bagle, della più grande ondata di virus nella storia dell’informatica.

Netsky.R si diffonde attraverso la posta elettronica con un messaggio che ha le seguenti caratteristiche:

Oggetto: Re: Document (numero casuale)

Corpo del Testo:

Excuse me,
The important document is attached,
Your sincerely

File allegato: Document (numero casuale).pif

Quando l’utente esegue il file, il worm si invia a tutti gli indirizzi che
raccoglie nei documenti archiviati nel computer con le seguenti estensioni:
.eml, .txt, .php, .asp, .wab, .doc, .sht, .oft, .msg, .vbs, .rtf, .uin,
.shtm, .cgi, .dhtm, .adb, .tbb, .dbx, .pl, .htm, .html, .jsp, .wsh, .xml,
.cfg, .mbx, .mdx, .mht, .mmf, .nch, .ods, .stm, .xls, e .ppt.

Inoltre, Netsky.R crea un file nella directory di Windows con il nome di
PandaAVEngine.exe che, in realtà, contiene una copia del worm. In questo
modo, Netsky.R cerca di confondere l’utente in quanto quest’ultimo crede
che si tratti di un documento appartenente a uno dei prodotti antivirus di
Panda Software. Invece, non è così, quanto l’antivirus lo scopre, può
procedere alla sua eliminazione senza ulteriori problemi.

Quando il primo file si esegue, si generano altri due file nel pc chiamati
temp09094283.dll e uinmzertinmds.opm. Per di più Netsky.R è stato
progettato per lanciare attacchi di Denial of Service tra i giorni 12 e
16 di aprile contro i siti: www.emule.de, www.cracks.am,
www.emule-project.net, www.kazaa.com e www.keygen.us.

Al termine, Netsky.R introduce un’entrata nel registro di Windows e
cancella molte altre relazioni con le epidemie provocate dai worm Mydoom,
Bagle o Mimail.

Gli utenti che desiderano procedere con un’analisi on line del proprio
computer possono ricorrere alla soluzione antivirus gratuita Panda
ActiveScan, disponibile sulla pagina web dell’azienda:
www.pandasoftware.it