Netsky.V si diffonde attraverso la posta elettronica con un messaggio
scritto in inglese e con caratteristiche variabili. Non ha un file
allegato, ma
un codice HTML con un exploit ObjectData. L’esecuzione del codice fa
scaricare automaticamente il worm.

Netsky.V porta a termine una serie di azioni, quali per esempio:

– l’installazione di un trojan che ascolta la porta TCP 5556 e 5557

– Tra il 22 e il 28 di aprile 2004 realizza attacchi di Denial of Service
(DoS) contro diverse pagine web

– Cerca indirizzi di posta elettronica in file con le seguenti estensioni:
ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT,
MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN,
VBS, WAB, WSH, XLS e XML. A posteriori, si invia a tutti gli indirizzi che
ha raccolto, utilizzando il proprio motore SMTP.

– Crea il mutex _-=oOOSOkOyONOeOtOo=-_ per evitare varie esecuzioni
simultanee.

Anche Netsky.U si diffonde per posta elettronica con un messaggio scritto
in inglese con caratteristiche variabili ma che ha sempre un file allegato
con estensione PIF. Questo worm installa una backdoor che ascolta la porta
TCP 6789 e come la variante V, si invia -utilizzando il suo motore SMTP-
agli indirizzi che raccoglie nel computer colpito. A sua volta questo worm
genera un mutex per evitare esecuzioni simultanee e cerca di realizzare,
tra il 14 e il 23 di aprile, attacchi di Denial of Service contro diverse
pagine web.

Hideout. A è invece un Tool di Hacking , un programma che si esegue da una
linea di comandi. Consente di realizzare, sui servizi attivi su pc in
attività remota, diverse azioni, come l’inventario di quelli che si stanno
eseguendo, mostrarne le informazioni o fermarli.