El troyano realiza un ataque de gran complejidad, ya que despliega una estructura en árbol, para infectar hasta con 19 especies distintas de malware a través del envío masivo de correo basura o spam, con lo que hasta el momento ha conseguido recopilar más de 3 millones de direcciones de correo.

Los usuarios al visitar la página Web, inician una cadena de infección, que por medio de un tag Iframe se tratan de abrir dos nuevas páginas. Las mismas desencadenan dos procesos paralelos, cada uno asociado a una de las páginas citadas.

Al abrir la primera de las páginas, ésta a su vez tratar de abrir otras seis, que redireccionan al usuario a diversas páginas de contenido para adultos. Además, lleva al usuario a una séptima página, que desencadena el proceso principal de ataque.

Esta página utiliza dos vulnerabilidades para llevar a cabo sus acciones, Ani/anr y Htmredir. En cualquiera de los dos casos, si el ataque tiene éxito, instalará y ejecutará en el equipo los ficheros Web.exe o Win32.exe, respectivamente, que son idénticos. Cuando se ejecuta el Web.exe, se crean siete archivos en la computadora, siendo uno copia de sí mismo.

Los troyanos que se instalan en la PC son el Downloader.DQY, Downloader.DQW, Downloader.DQW, Sapilayr.A., Adware/SpySheriff, Downloader.DYB, Downloader.CRY y Downloader.EBY.

“La complejidad de este ataque apenas posee precedentes, la elaboración supera con mucho lo que es habitual. La cantidad de direcciones recopilada para el envío de spam, más de 3 millones, indica que el creador ha conseguido un importante éxito en sus propósitos”, comentó Luis Corrons, director de PandaLabs.

Corrons opina que además de poseer una solución antivirus, es fundamental tener el equipo actualizado, ya que el SpamNet.A basa buena parte de su éxito en el aprovechamiento de vulnerabilidades.