W32.Netsky.B est un ver d’envoi en masse de courrier électronique qui utilise son propre moteur SMTP pour s'expédier à toutes les adresses électroniques trouvées lors de l'analyse des disques durs et des disques mappés. Le ver recherche également sur les disques C à Z les noms de dossiers contenant "Partage" ou "Partagé" puis se copie dans ces dossiers.

W32/Netsky-B se copie dans le dossier Windows sous le nom services.exe. Pour se lancer automatiquement au démarrage de Windows, il crée dans le registre l'entrée suivante :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
service= "C:\\WINDOWS\\services.exe -serv"

W32/Netsky-B recherche sur tous les lecteurs mappés les fichiers portant les extensions suivantes afin d'y trouver des adresses de messagerie : MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT and EML.


Désinfection : Antivirus Gratuit en Ligne

Les noms de fichiers utilisés par le ver pour se copier sur les dossiers partagés sont :
angels.pif
cool screensaver.scr
dictionary.doc.exe
dolly_buster.jpg.pif
doom2.doc.pif
e-book.archive.doc.exe
e.book.doc.exe
eminem - lick my pussy.mp3.pif
hardcore porn.jpg.exe
how to hack.doc.exe
matrix.scr
max payne 2.crack.exe
nero.7.exe
office_crack.exe
photoshop 9 crack.exe
porno.scr
programming basics.doc.exe
rfc compilation.doc.exe
serial.txt.exe
sex sex sex sex.doc.exe
strippoker.exe
virii.scr
win longhorn.doc.exe
winxp_crack.exe

W32/Netsky-B peut arriver dans un courriel avec les caractéristiques suivantes :
Objet : sélectionné aléatoirement parmi les suivants :
unknown
fake
stolen
information
warning
something for you
read it immediately
hello

Corps du message : sélectionné aléatoirement parmi les suivants :
something is fool
something is going wrong
you are bad
you try to steal
you feel the same
you earn money
thats wrong
why?
take it easy
reply
do you?
that's funny
here, the cheats
here, the introduction
here, the serials
from the chatter
about me
information about you
something is going wrong!
stuff about you?
greetings
see you
here it is
that is bad
yes, really?
i found this document about you
your name is wrong
i hope it is not true!
kill the writer of this document!
something about you!
I have your password!
you are a bad writer
is that from you?
i wait for a reply!
is that your account?
is that your name?
is that true?
here
my hero
read it immediately!
here is the document.
read the details.
i'm waiting
what does it mean?
anything ok?

Pièce jointe : un des noms de fichiers suivants avec une double extension :
misc
party
disco
part2
mail2
object
ranking
dinner
release
final
location
jokes
friend
website
mails
story
found
nomoney
aboutyou
shower
topseller
product
swimmingpool
bill
note
concert
textfile
posting
stuff
attachment
details
creditcard
message
talk
document
unknown
fake
stolen
information
warning
something for you
read it immediately
hello

L'extension est une combinaison de DOC, RTF, HTM, PIF, COM, SCR and EXE.
W32/Netsky-B peut aussi envoyer un fichier ZIP.

L'adresse de messagerie de l'expéditeur est falsifiée.