Membuat file mutex “_-=oOOSOkOyONOeOtOo=-_" untuk meyakinkan bahwa hanya satu virus yang aktif.
Membuat file di direktori %Windows% dengan nama file “KasperskyAVEng.exe" dan “skyav.tmp"
Catatan: %Windows% ini adalah bervariasi, secara default adalah C:\Windows or C:\WINNT.
Membuat value string dengan nama
KasperskyAVEng"= “%WINDIR%\KasperskyAVEng.exe"
pada registry key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Mencari dan mendapatkan alamat email pada file yang mengandung ext.
· .ppt
· .nch
· .mmf
· .mht
· .xml
· .wsh
· .jsp
· .xls
· .stm
· .ods
· .msg
· .oft
· .sht
· .html
· .htm
· .pl
· .dbx
· .tbb
· .adb
· .dhtm
· .cgi
· .shtm
· .uin
· .rtf
· .vbs
· .doc
· .wab
· .asp
· .mdx
· .mbx
· .cfg
· .php
· .txt
· .eml
Virus Netsky.V akan mengirimkan dirinya sendiri berupa email ke semua alamat email yang berhasil ditemukan dengan menggunakan SMTP sendiri, dimana email yang dikirimkan akan mempunyai karakteristik sbb:
Subject:
· Mail Delivery Sytem failure
· Mail delivery failed
· Server Status failure
· Gateway Status failure
Body:
· The processing of this message can take a few minutes...
· Converting message. Please wait...
· Please wait while loading failed message...
· Please wait while converting the message...
From:
Untuk alamat From adalah alamat yang dipalsukan, jadi semua alamat email kelihatannya akan datang dari alamat “dimitrihji@yahoo.com"
Attachment:
Netsky.V tidak mengirimkan lampiran (attachment) apapun, malahan Netsky.V akan memanfaatkan celah keamanan yang ada di Internet Explorer di mana virus ini akan mampu masuk ke sebuah website. Sebuah URL akan ditambahkan (appended) pada mail yang mana virus ini akan secara otomatis masuk (launch) ketika kita mengklik "ON".
Silakan kunjungi website http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx dan
http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx untuk mendapatkan informasi mengenai celah keamanan ini.
Denial of Service
Antara tanggal 22 April 2004 dan 29 April 2004 dengan menggunakan HTTP GET Virus ini akan melakukan serangan denial of service (DoS) kealamat web site :
· www.keygen.us
· www.freemule.net
· www.kazaa.com
· www.emule.de
· www.cracks.am
Remote Access Component
Virus ini akan membuka web server pada TCP port 5557 , virus ini juga akan membuka FTP server pada TCP Port 5556, jadi komputer yang terinfeksi dapat diakses oleh penyerang.
Jika tidak terdapat lokal DNS server yang dikonfigurasikan kemudian Netsky akan mencoba untuk melakuakan MX lookup pada alamat domain dengan salah satu [dari] DNS server berikut :
· 212.44.160.8
· 195.185.185.195
· 151.189.13.35
· 213.191.74.19
· 193.189.244.205
· 145.253.2.171
· 193.141.40.42
· 194.25.2.134
· 194.25.2.133
· 194.25.2.132
· 194.25.2.131
· 193.193.158.10
· 212.7.128.165
· 212.7.128.162
· 193.193.144.12
· 217.5.97.137
· 195.20.224.234
· 194.25.2.130
· 194.25.2.129
· 212.185.252.136
· 212.185.253.70
· 212.185.252.73
Jika Anda menggunakan Windows ME/XP, nonaktifkan system restore selama masa pembersihan
Update antivirus yang anda gunakan.
Jika komputer Anda terhubung ke jaringan, lepaskan terlebih dahulu.
Restart komputer di safe mode (pada saat start komputer tekan tombol [F5])
Scan dan delete semua file yang terdeteksi sebagai W32/Netsky.V@mm.
Hapus registri yang diciptakan oleh virus tersebut:
Hapus value string KasperskyAVEng"= “%WINDIR%\KasperskyAVEng.exe" Pada registry key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Blok port 5556 dan 5557 pada firewall
Update patch IE yang digunakan, dapat dilihat di Web Site: http://www.microsoft.com/technet/security/bulletin/MS03-040.mspx dan http://www.microsoft.com/technet/security/bulletin/MS03-032.asp.
Restart komputer, kemudian scan ulang hardisk untuk meyakinkan komputer sudah bersih dari virus.
Untuk sementara disarankan blok port 4751 pada firewall untuk mencegah komputer yang terinfeksi membuka backdoor.