El malware se distribuye embebido en macros de documentos de Word manipulados y, en los casos analizados, camuflados en falsas facturas de tren. Estos archivos llegan en adjuntos de correos no deseados distribuidos en oleadas de spam. En caso de que el usuario no tenga activada la ejecución automática de macros, se mostrará una advertencia explicando que dicha ejecución esta deshabilitada, así como un botón para activarla.

Al abrir el documento y activar las macros de Office, la víctima activa una serie de acciones en cadena que concluyen con la generación del archivo msnjauzge.exe que, una vez ejecutado, crea una entrada en el sistema que le permite sobrevivir a cualquier reinicio: desde ese momento, el equipo está infectado y a disposición de los creadores de la botnet. En un siguiente paso, estas máquinas podría ser utilizadas como aspersores de spam, infectadas con troyanos bancarios, programas espía… siempre en función de los intereses de sus creadores o de los cibercriminales que en un determinado momento puedan manejarlas.

Tal y como afirma Ralf Benzmüller, director de G Data SecurityLabs: “El malware se comporta como una muñeca Matrioska una vez que se introduce en el sistema y va, poco a poco, revelando su potencial y sus objetivos…Sospechamos que los sistemas infectados están destinados a incorporarse como PCs zombis en la botnet Andromeda / Gamarue”.

Fuente: muyseguridad