Ryknos.A es un backdoor que se conecta al puerto 8080 de varias direcciones IP para recibir órdenes de control remoto que ejecutar en el ordenador afectado. Por ejemplo, puede borrar, descargar o ejecutar archivos. Para ocultar su archivo, Ryknos.A le pone un nombre que comienza con los caracteres $SYS$. De este modo, en ordenadores que tengan instalado el software de Sony llamado Digital Rights Management (Gestión de Derechos Digitales), el rootkit incluido en dicho software se encarga de ocultar cualquier archivo cuyo nombre empiece por esos caracteres del Explorador de Windows, etc. Ryknos.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc. |