La polivalente familia de malware Necurs causó estragos en noviembre por infectar a más de 83 mil computadoras, siendo éstas, solamente las que fueron detectadas por las soluciones de Microsoft.

El troyano Necurs es capaz de:

- Modificar el registro de la computadora, con el fin de auto iniciarse después de cada reinicio.

- Quitar los componentes adicionales que impiden a un gran número de aplicaciones de seguridad funcionar correctamente, incluyendo los fabricados por Avira, Kaspersky Lab, Symantec y Microsoft. Según los investigadores de Microsoft, la proteccion en tiempo real Microsoft Security Essentials a menudo se apagará después de que la computadora infectada se haya reiniciado.

- Inhabilitar el firewall que esté corriendo

- Contactar un host remoto para tomar el mando e instrucciones de control vía HTTP puerto 80, algunas veces descargar e instalar malware adicional (comunmente falsos antivirus) y leer una componente DLL maliciosa que permite a un atacante enviar spam vía Gmail.

- Crear una  puerta trasera permanente en el sistema, la cual permita a los atacantes tener completo control de la computadora afectada.

Necurs utiliza MD5 y SHA1 para encriptar su tráfico de datos en la red cuando envía o recibe información y contiene regularmente un driver de actualización que protege cada componente de Nercus que es eliminado.

De acuerdo con investigadores de Microsoft, la actual proliferación de esta particular familia de malware se debe al hecho de que está siendo distribuida en gran medida por un driver de descarga, desde los sitios web que hospedan una variedad de paquetes de exploits, incluyendo el siempre popular Blackhole.

Microsoft ofrece un práctico documento que explica las características del malware, los síntomas que la computadora infectada con Necurs debería mostrar, tips para prevenir la infección y cómo remover la amenaza si se encuentra una en la computadora.