Il worm Netsky.R è la nuova variante del codice maligno protagonista, insieme alle famiglie dei worm Mydoom e Bagle, della più grande ondata di virus nella storia dell'informatica.
Netsky.R si diffonde attraverso la posta elettronica con un messaggio che ha le seguenti caratteristiche:
Oggetto: Re: Document (numero casuale)
Corpo del Testo:
Excuse me,The important document is attached,Your sincerely
File allegato: Document (numero casuale).pif
Quando l'utente esegue il file, il worm si invia a tutti gli indirizzi che raccoglie nei documenti archiviati nel computer con le seguenti estensioni: .eml, .txt, .php, .asp, .wab, .doc, .sht, .oft, .msg, .vbs, .rtf, .uin, .shtm, .cgi, .dhtm, .adb, .tbb, .dbx, .pl, .htm, .html, .jsp, .wsh, .xml, .cfg, .mbx, .mdx, .mht, .mmf, .nch, .ods, .stm, .xls, e .ppt.
Inoltre, Netsky.R crea un file nella directory di Windows con il nome di PandaAVEngine.exe che, in realtà, contiene una copia del worm. In questo modo, Netsky.R cerca di confondere l'utente in quanto quest'ultimo crede che si tratti di un documento appartenente a uno dei prodotti antivirus di Panda Software. Invece, non è così, quanto l'antivirus lo scopre, può procedere alla sua eliminazione senza ulteriori problemi.
Quando il primo file si esegue, si generano altri due file nel pc chiamati temp09094283.dll e uinmzertinmds.opm. Per di più Netsky.R è stato progettato per lanciare attacchi di Denial of Service tra i giorni 12 e 16 di aprile contro i siti: www.emule.de, www.cracks.am, www.emule-project.net, www.kazaa.com e www.keygen.us.
Al termine, Netsky.R introduce un'entrata nel registro di Windows e cancella molte altre relazioni con le epidemie provocate dai worm Mydoom, Bagle o Mimail.
Gli utenti che desiderano procedere con un'analisi on line del proprio computer possono ricorrere alla soluzione antivirus gratuita Panda ActiveScan, disponibile sulla pagina web dell'azienda:www.pandasoftware.it