Netsky.C llega al equipo en un mensaje de correo electrónico cuyo asunto,
cuerpo y fichero adjunto son escogidos a partir de una extensa lista de
opciones que pueden ser consultadas en la Enciclopedia de Virus de Panda
Software
<http://www.pandasoftware.es/virus_info/enciclopedia/verFicha.aspx?idvirus=4
5084>.

En caso de que el archivo adjunto sea ejecutado, Netsky.C genera copias de sí mismo con el nombre WINLOGON.EXE en todas las unidades del equipo.

Para propagarse se envía por correo electrónico a todas las direcciones que encuentre en ficheros con extensiones .eml, .txt, .php, .pl, .htm, .html, .vbs, .rtf, .uin, .asp, .wab, .doc, .adb, .tbb, .dbx, .sht, .oft, .msg, .shtm, .cgi, y .dhtm que se encuentren almacenados en el equipo. Para ello, utiliza su propio motor SMTP.

Por otra parte, el gusano se copia, utilizando una gran variedad de nombres distintos en todas las carpetas que existan en el ordenador que contengan la secuencia de letras "shar". De esta manera, puede propagarse utilizando aplicaciones para compartir archivos como KaZaA.

Además, Netsky.C ha sido diseñado para producir una secuencia de sonidos muy característica que puede escucharse a través del altavoz de los equipos  afectados entre las 06:00 y las 08:59 hrs. del día 26 de febrero.

Por último, el gusano introduce varias entradas en el registro de Windows con el objetivo de asegurar su ejecución cada vez que se reinicie el equipo. Al mismo tiempo, borra las que puedan existir como consecuencia de la infección por otros códigos maliciosos como, por ejemplo, Mydoom.A y Mimail.T.