W32/Netsky-X ist eine E-Mail-Wurm mit Backdoor-Funktionen, der stark W32/Netsky-Y ähnelt.
Der Wurm kopiert sich mit dem Dateinamen FirewallSvr.exe in den Windows-Ordner, erstellt eine Datei namens fuck_you_bagle.txt (eine base64-kodierte Form des Wurms) und erstellt die folgenden Registrierungseinträge, damit der Wurm automatisch startet, sobald sich ein Benutzer anmeldet:
Der Wurm verbreitet sich in einer E-Mail mit folgenden Merkmalen:
Betreffzeile: Delivery failure notice (ID-<8_stellige_zufällige_hex_ziffer>)
Text:
--- Mail Part Delivered ---
220 Welcome to [ Empfänger_Domänen_Name ]
Mail type: multipart/related
--- text/html RFC 2504
MX [Mail Exchanger] mx.nt2.kl.Empfänger_Domänen_Name
Exim Status OK
External or New or Delivered or Partial message is available.
Attachment: "www.recipient_domain_name.recipient_username.session--<8_stellige_zufällige_hex_ziffer_wie_in_Betreffzeile>.com"
W32/Netsky-X verfügt über eine Backdoor-Komponente, die auf Verbindungen an TCP-Port 82 wartet und einem nicht autorisierten Programm die Möglichkeit gibt, willkürlichen Code auf dem infizierten Computer auszuführen.
Der Wurm sammelt E-Mail-Adressen in Dateien auf den lokalen Laufwerken. Diese Dateien haben folgende Erweiterungen: