Netsky.V si diffonde attraverso la posta elettronica con un messaggio scritto in inglese e con caratteristiche variabili. Non ha un file allegato, ma un codice HTML con un exploit ObjectData. L'esecuzione del codice fa scaricare automaticamente il worm.
Netsky.V porta a termine una serie di azioni, quali per esempio:
- l'installazione di un trojan che ascolta la porta TCP 5556 e 5557
- Tra il 22 e il 28 di aprile 2004 realizza attacchi di Denial of Service (DoS) contro diverse pagine web
- Cerca indirizzi di posta elettronica in file con le seguenti estensioni: ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MBX, MDX, MHT, MMF, MSG, NCH, ODS, OFT, PHP, PL, PPT, RTF, SHT, SHTM, STM, TBB, TXT, UIN, VBS, WAB, WSH, XLS e XML. A posteriori, si invia a tutti gli indirizzi che ha raccolto, utilizzando il proprio motore SMTP.
- Crea il mutex _-=oOOSOkOyONOeOtOo=-_ per evitare varie esecuzioni simultanee.
Anche Netsky.U si diffonde per posta elettronica con un messaggio scritto in inglese con caratteristiche variabili ma che ha sempre un file allegato con estensione PIF. Questo worm installa una backdoor che ascolta la porta TCP 6789 e come la variante V, si invia -utilizzando il suo motore SMTP- agli indirizzi che raccoglie nel computer colpito. A sua volta questo worm genera un mutex per evitare esecuzioni simultanee e cerca di realizzare, tra il 14 e il 23 di aprile, attacchi di Denial of Service contro diverse pagine web.
Hideout. A è invece un Tool di Hacking , un programma che si esegue da una linea di comandi. Consente di realizzare, sui servizi attivi su pc in attività remota, diverse azioni, come l'inventario di quelli che si stanno eseguendo, mostrarne le informazioni o fermarli.