Tra le azioni che Netsky.R e Netsky.Q portano a termini emergono le seguenti:
- Eliminano le entrate appartenenti a vari worm come Mydoom.A, Maydoom.B, Mimail.T e diverse varianti di Bagle. - Cercano di realizzare attacchi Denial Of Service (DoS) contro diverse pagine web.
Netsky.Q si attiva automaticamente soltanto con la visualizzazione, attraverso la preview di Outlook, del messaggio nel quale si invia. Per raggiungere l'obiettivo, sfrutta la vulnerabilità conosciuta come Exploit/lframe che colpisce le versioni 5.01 e 5.5 di Internet Explorer e consente l'esecuzione automatica dei file allegati al messaggio di posta. Inoltre, Netsky.Q è programmato per emettere tra le 05.00 e le 10.59 del mattino un suono composto da vari toni casuali, quando la data del sistema è del 30 marzo 2004.
Bagle.V e Bagle.U si diffondo con e-mail facili da riconoscere poiché l'oggetto e il corpo del testo del messaggio appaiono in bianco e includono un file allegato con nome variabile e con estensione .EXE . Allo stesso modo, entrambi si eseguono solo se la data del sistema è quella del 1 gennaio 2005 e prima o dopo di questa data, smettono di funzionare.
Le varianti V e U di Bagle sono programmate per aprire la porta TCP 4751 quando si eseguono i documenti che le contengono. Attraverso questa porta tentano di connettersi ad una pagina web per inviare al loro autore i dati del computer danneggiato, così da potergli favorire l'accesso. Le due varianti presentano però delle differenze:
- Il file allegato che contiene Bagle.V ha come icona l'immagine di una siringa, mentre quella di Bagle.U è un orologio. - Bagle.U apre il gioco di Windows Hearts, se questa applicazione è installata nel pc
Sober.E è il quinto worm di oggi. Scarica un file da un pagina web se la data del sistema è posteriore al 24 marzo 2004. Inoltre, cerca di connettersi a vari server NTP per verificare la data attuale. Una volta eseguito, è facile sapere che questo codice maligno ha colpito un computer in quanto apre l'applicazione di Windows Paint o mostra sul video il testo"Graphic Modul not found".
Questo rapporto sui virus si conclude con il trojan Seeker.O che si colloca residente in memoria. Una volta all'ora prova ad aprire una pagina pubblicitaria, che fa accedere a siti web differenti. Alcune delle pagine che apre cercano di scaricare ed installare programmi spyware e adware nel pc colpito.
