Netsky.H je emailový červ, využívající svůj vlastní SMTP engine pro šíření ve formě proměnlivého emailu.
Pokud dojde k aktivaci červa, provedou se následující akce:
Červ otestuje, zda na cílovém počítači již neběží. Pokud ano, nenapadne počítač znovu.
Programový kód červa je nakopírován do adresáře Windows pod jménem maja.exe.
Do systémového registru přidá záznam: "Antivirus"="%Windir%\maja.exe -antivirus service" a do klíče: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kvůli automatickému spouštění po restartu počítače.
Červ v registrech dále maže hodnoty, související s červem Mydoom.A a Mydoom.B.
Pokud je na počítači systémový čas mezi 11:00 - 12:00 a datum 8. března 2004, počítač bude pípat ze systémového reproduktoru. Každé pípnutí bude mít náhodnou délku a náhodnou frekvenci.
Červ prochází následující typy souborů na discích C-Z a vyhledává v nich emailové adresy, na které se následně šíří pomocí vlastního SMTP engine: .dhtm, .cgi, .shtm, .msg, .oft, .sht, .dbx, .tbb, .adb, .doc, .wab, .asp, .uin, .rtf, .vbs, .html, .htm, .pl, .php, .txt, .eml.
Vlastní rozesílaný email má tuto charakteristiku:
Předmět: (jedna z následujících možností): Re: Your briefing; Re: Your picture; Re: Your loveletter; Re: Your TAN; Re: Your PIN; Re: Your bill; Re: Your details; Re: My details; Re: Zipped folder; Re: Secound Part; Re: Part 3; Re: Part 2; Re: Your application; Re: Your data; Re: Index; Re: Appending; Re: Hello; Re: Hi; Re: Your encrypted file; Re: Your folder; Re: Your file; Re: Yours; Re: Here the file; Re: Approved; Re: Document; Re: Symplex.
Tělo emailu: (jedna z následujících vět): Your file is attached.; Please read the attached file.; Please have a look at the attached file.; See the attached file for details.; Here is the file.; Your document is attached.
Příloha: (Jedno z následujících jmen): your_briefing.scr; your_pic.scr; your_letter.scr; your_tan_33.scr; your_pin_88.scr; your_bill.scr; your_details.scr; document_word.scr; document_excel.scr; my_details.scr; all_document.scr; application.scr; mp3music.scr; yours.scr; document_4351.scr; your_picture.scr; your_file.scr; message_details.scr; your_picture.pif; document_full.scr; message_part2.scr; document.scr; your_document.scr; your_smaples.scr.
Červ se vyhýbá šíření na emailové adresy, obsahující jedno z následujících slov: iruslis; antivir; sophos; freeav; andasoftwa; skynet; messagelabs; abuse; fbi; orton; f-pro; aspersky; cafee; orman; itdefender; f-secur; avp; spam; ymantec; antivi; icrosoft.
Nové varianty řad červů Netsky a Beagle se objevují jako houby po dešti - bohužel stále díky lidské neznalosti nebo schválnosti mají šanci šířit se. Nezapomeňte si zaktualizovat vás antivirový program, ať i vy se nestanete zdrojem nákazy pro druhé.