Virus đối thủ của Mydoom và Bagle đã cho ra đời hai biến thể mới Y và Z khi mà vần alphabet để đặt tên cho chúng đã hết. Trong khi đó, các công ty phần mềm an ninh tiếp tục ghi nhận sự xuất hiện của Mimail.V và Blaster.T.

NetSky.Y tự sao chép vào folder Windows bằng cái tên FirewallSvr.exe, đồng thời tạo ra một file khác có tên gọi mang nội dung chửi rủa virus Bagle (fuck_you_bagle.txt) và cài đăng ký registry sau đây vào phần tự khởi động ngay trên user login: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
FirewallSvr= C:<WindowsFolder>FirewallSvr.exe.

NetSky.Y mang một bộ phận cổng hậu để nghe lén các đường kết nối trên cổng TCP 1549, cho phép một chương trình bên ngoài tải và tung ra mã bất kỳ trên máy tính mục tiêu. Biến thể này thu thập địa chỉ e-mail từ các file trên ổ cứng với những đuôi sau: adb, asp, cfg, cgi, dbx, dhtm, doc, eml, htm, html, jsp, mbx, mdx, mht, mmf, msg, nch, oft, php, pl, ppt, rtf, shtm, tbb, txt, uin, vbs, wab, wsh, xls, xml. Virus sử dụng rất nhiều dòng chủ đề khác nhau nhưng thường liên quan đến từ document. NetSky.Y sẽ tự động mở các trang web tại 3 địa chỉ www.nibis.de, www.medinfo.ufl.edu, www.educa.ch từ ngày 27 đến 31/3.

Trong khi đó, phiên bản Z của NetSky cũng phát tán bằng cách tự sao chép vào những địa chỉ mail mà nó tìm thấy trong máy tính. Khi xâm nhập vào hệ thống, virus cài một bản copy của nó vào folder Windows dưới dạng Jammer2nd.exe và tạo ra đăng ký registry sau để Jammer2nd.exe có thể tự động chạy mỗi khi Windows khởi động: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Jammer2nd = <WINDOWS>Jammer2nd.exe.

Cuộc đấu giữa các loại sâu Mydoom, Bagle với NetSky trong những tháng đầu năm đã gần như thu hút hết sự chú ý của các chuyên gia an ninh. Trong khi đó, 2 hung thần của năm ngoái là Blaster và Mimail vẫn âm thầm sinh sôi biến thể mới.

Khi virus Mydoom mới xuất hiện, nhiều nhà phân tích cho rằng đó có thể là phiên bản tiếp theo của Mimail. Tuy nhiên, sự thực sớm được làm rõ khi Mydoom nhanh chóng lây lan theo một cộng đồng riêng còn Mimail liên tiếp tung ra những biến thể mới. Phiên bản mới nhất, Mimail.V, phát tán qua e-mail và mạng chia sẻ file ngang hàng. Nó cũng có tính năng cổng hậu để cho phép hacker truy nhập từ xa vào máy tính nạn nhân. Để được kích khi Windows khởi động, Mimail.V tự sao chép vào folder Windows bằng những tên file bất kỳ, đồng thời tạo ra các registry dẫn về file này.

Phần attachment của nó hoặc là một file HTML chứa mã nhị phân dạng nhúng hoặc là một file ZIP chứa trang HTML. Đối với trường hợp thứ 2, file HTML sẽ có đuôi FOLDER và có thể được hiển thị như một folder con bởi các công cụ duyệt như Explorer hay WinZip. Khi người sử dụng click vào biểu tượng để vào folder này, sâu sẽ tự động được thả ra và kích hoạt. Giống như hầu hết những virus hiện nay, Mimail mới cũng quét ổ cứng để thu lượm địa chỉ e-mail. Điểm đáng chú ý của biến thể V này là nó cố gắng ngăn chặn hoạt động của các chương trình diệt virus và tiêu diệt một số loại sâu khác, trong đó có Bagle. Mimail.V có một tính năng che giấu chu trình hoạt động và do đó sẽ không xuất hiện trên danh mục process trên Task Manager của máy tính. Khi hoạt động, virus sẽ cố gắng kết nối với máy chủ IRC ở xa và nhập vào một kênh nhất định để thông qua đó kẻ tấn công có thể khống chế một máy tính mục tiêu. Virus cũng nghe lén qua cổng 6667 và chờ một URL dẫn tới file mà nó sau đó sẽ tự tải và kích hoạt.

Blaster.T, biến thể mới nhất của loại sâu từng hoành hành hồi tháng 8 năm ngoái, khai thác khiếm khuyết DCOM RPC mà Microsoft đã thông báo trong bản tin an ninh MS03-026, sử dụng cổng TCP 135. Mục tiêu của Blaster.T vẫn là những PC chạy Windows 2000 và XP. Mặc dù Windows NT và Windows 2003 Server cũng có thể bị ảnh hưởng nếu không được vá lỗi đầy đủ, biến thể T không được lập trình để nhân bản vào những hệ thống này. Ngoài ra, virus mới cũng không có tính năng phát tán mail số lượng lớn. Nó cố gắng thực hiện tấn công DDoS vào máy chủ của trang Windows Update với mục đích ngăn cản việc tải bản nâng cấp cho lỗi DCOM RPC nói trên. Khi đã xâm nhập hệ thống, Blaster.T kiếm tra xem máy tính đã nhiễm một bản sao khác của nó chưa để tránh phải sao chép một lần nữa. Nó cài Registry sau để được kích hoạt mỗi khi Windows khởi động:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft
WindowsCurrentVersionRun.

Ngoài ra virus còn nghe lén qua cổng UDP 69 và thay đổi homepage trong trình duyệt Internet Explorer thành địa chỉ http://www.getgood.biz.