**Het voornaamste verschil met eerdere varianten is dat versie .e meer verschillende variaties in onderwerp, tekst van het bericht & de extensies kan gebruiken.

Eigenschappen van het e-mailbericht:

* Onderwerp:

Announcement
Approved
Attention
automatic notification
automatic responder
believe me
Confirmation
Confirmation Required
dear
Delivery Failed
denied!
Details
error
exception
excuse me
Expired account
fake?
good morning
hello
Here is it
hey
hi
hi, it's me
illegal...
I'm back!
important
info
its me
last chance!
lol
Love is
moin
notice!
notification
oh
please read
please reply
private?
question
Question
re:
Re: <5664ddff?$????>
Re:
Re: Approved
Re: Details
Re: does it?
Re: does it?
Re: excuse me
Re: hello
Re: hey
Re: hi
Re: important
Re: information
Re: information
Re: Re: Re: Re:
Re: Thank you
Re: unknown
read it immediatelly
read now!
Read this message
registered?
Registration confirm
report
Returned Mail
Schedule
something for you
Status
stolen
take it
Thank you
Thank You very very much
trust me
warning
what's up?
Yep
You have 1 day left
You use illegal...
you?
Your IP was logged
Your request was registered

* Tekst van het bericht:

*lol*
...
;-)
?}
09580985869gj
a crazy doc about you
abuse?
account?
already?
another pic, have fun! ... :-
Antispam complete
Antispam is turned off. See file!
are you a photographer?
are you a teacherin the picture?
are you cranky?
are you the naked one?
are you the naked person!
are you the one?
Attached Msg
attachi#
Attachment from Poland
Attachment Signature 34933920
Authentification required. Read the att...
Automailer
bad gateway
be mad?
best?
bob the builder
child or adult?
child porn?
classroom test of you?
Click the attachment to decrypt
copyright?
correct it!
Deliver Error
did you ask me for that?
did you know from this document?
did you know that?
did you see her already?
did you sent it to me?
do not give up!
do not open the attachment!
do not show this anyone!
do not use my document!
do not use this creditcard!
do not visit the pages on the list I se...
do you have an orgasm in the picture?
do you have sex in the picture?
do you have the bug also?
do you have?
do you know the thief?
do you know this????
do you think so?
doc about me?
doc?
docs?
does it belong to you?
does it belong to you?
does it match?
does it matter?
drugs? ...
excellent!
explain!
Failed message available
Failure
fast food...
feel free to use it.
File is bad.
File is damaged.
File is self-decryting.
forgotten?
from the chatter (my photo!)
from your lover ;-)
gonna?
good work!
great job!
great xxx!
great!
greetings
help attached
her.
here is it.
here is my advice.
here is my photo!
here is the $%%454$
here is the censored
here is the document.
here is the next one!
here is yours!
here, the cheats
here, the introduction
here, the serials
how?
i am desperate
i am speachless about your document!
I don't know your document!
i don't think so.
i don't want your xxx pics!
i found that about you!
i found this document about you.
i have received this.
I have your password!
i hope thats not true!
i know your document!
i like your doc!
i lost that
i need you!
i saw you last week!
I 've found your bill!
I wait for an answer!
i wait for your comment about it.
i want more...
illegal st. of you?
important?
in your mind?
incest?
information about you?
Instant patches.
instruct me about this!
is that criminal?
is that possible?
is that the reality?
is that true?
is that your account?
is that your account?
is that your attachment?
is that your beast?
is that your car?
is that your car?
is that your cd?
is that your creditcard?
is that your domain?
is that your family?
is that your finger?
is that your message?
is that your name?
is that your photo?
is that your porn pic?
is that your privacy?
is that your slip?
is that your TAN?
is that your website?
is that your wife?
is that your work?
is that yours?
is the pic a fake?
is this information about you?
it's a secret!
its private from me
it's so similar as yours!
i've found it about you
kill him on the picture!
kill the writer of this document!
let it!
lets talk about it!
Login required! Read the attachment!
love letter?
Mail failed
man or women?
meaning of that?
Message Error
message?
Microsoft
misc. and so on. see you!
modifications?
money?
msg
my advice....
never!
new patch is available!
null
ok...
old photos about you?
only encrypted!
pages?
personal message!
picture?
poor quality!
possible?
pretty pic about you?
pwd?
read it immediately!
read the details.
really?
reply
scanned by norton antivirus
schoolfriend?
see this!
see your name!
Server Error
solve the problem!
something about you!
something is going ...
something is going wrong!
something is not ok
stuff about you?
such as yours?
take it easy!
tell me more about your document!
test it
that is interesting...
that's a funny text.
that's not the truth?
thats wrong!
the information is wrong!
the truth?
this file is bad!
this is an attachment message!
this is nothing for kids!
time to fear?
Transaction failed. Show the doc!
Transfer complete
trial?
try this patch!
Warning from the Government
what do you think about it?
what means that?
what still?
what?
who?
why should I?
why?
wrong calculation! (see the attachment!...
xxx ?
xxx about you?
xxx service
yes.
you are a bad writer
you are bad
You are infected. Read the details!
you are naked in this document!
you are sexy in this doc!
you cannot hide yourself! (see photo)
you earn money, see the attachment!
you feel the same.
you have a sexy body in the pic!
you have done a mistake in the document...
you have tried to steal!
you look like an ape!
you look like an rat?
you won the rk!
your account is expired!
your are naked?
your attachment? verify it.
Your bill.
your body?
your design is not good!
your document is not good
your document is silly!
your eyes?
your face?
your hero in the picture?
your icq number?
your job? (I found that!)
your lie is going around the world!
your name is wrong!
your personal record?
your photo is poor
Your provider will be disabled!
your TAN number?
yours?

* Naam bijlagebestand:
Deze bestanden hebben een willekeurige dubbele extensie samengesteld uit :
1e extensie: .txt, , jpeg, gif, .rtf, .doc & .html
2e extensie: .bat, .cmd .exe, .scr, .com & .pif
[Dit bestand kan verpakt zijn in een .zip archief]

454543403
aboutyou
associal
attach2
attachment
auction
bill
birth
card
class_photos
concert
creditcard
death
description
details
dinner
disco
doc
doc_ang
document
final
found
freaky
friend
id
image
important
incest
information
injection
intimate stuff
jokes
letter
location
mail2
mails
masturbation
material
me
message
misc
moonlight
more
msg
msg2
music
myaunt
mydate
naked1
naked2
news
nomoney
note
nothing
number_phone
object
old_photos
part2
party
paypal
pic
portmoney
poster
posting
privacy
product
ps
ranking
regards
regid
release
response
schock
secrets
sexual
sexy
shower
story
stuff
swimmingpool
talk
tear
textfile
topseller
transfer
trash
undefinied
unfolds
update
violence
visa
warez
webcam
website
wife
word_doc
worker
your_stuff
yours
yours

Bestanden
1a. Aanwezigheid van het bestand "winlogon.exe" in de standaard Windows directory. (meestal c:\Windows\)

1b. Aanwezigheid van tal van .zip bestanden in de Windows- directory. De wijzigingsdatum van deze bestanden is gelijk aan de datum van infectie.
(Deze .zip bestanden bevatten copies van het schadelijke wormbestand)

Registry
2a. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
met de waarde:
"ICQ Net" = "[locatie bestand]\winlogon.exe -stealth"

2a. Verwijdering van de volgende waarden:

au.exe
d3dupdate.exe
DELETE ME
Explorer
msgsvr32
OLE
Sentry
service
Taskmon
Windows Services Host

aanwezig in de volgende sleutels:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices

2b. verwijdering van de waarden;
"KasperskyAV"
"System."

aanwezig in de sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Overige,...
3a. Op de systeemdatum 2 maart 2004 en de tijdsperiode 6 t/m 9u wordt er een continue bieptoon verspreidt.

3b. Indien aanwezig verwijderd Netsky.e onderstaande registry-sleutels. Deze kunnen zijn aangebracht door andere virussen, als Mydoom.

HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "au.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "d3dupdate.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Explorer"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "KasperskyAv"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "OLE"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run "Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "DELETE ME"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Explorer"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "KasperskyAv"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "msgsvr32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Sentry"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "service"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "system."
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run "Taskmon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices "system."
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

en/of
1b. Gebruik de gratis verwijderingstool van Symantec,zie hierboven

1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.