是一种蠕虫病毒，网络天空”病毒的变种之一，于2004年3月1日被发现。影响Windows 2000, Windows 95, Windows 98, Windows Me等操作系统。该变种的一些特征与Worm_Netsky.C相同，如windows文件夹下生成的病毒文件名称，修改注册表键值已达到自启动的目的，以及删除的部分注册表键值。

简介(编写工具 病毒特征)

病毒清除

简介

处理时间：2004-04-12

威胁级别：★

中文名称：网络天空变种D

病毒类型：蠕虫

病毒行为:

netsky

编写工具

vc

传染条件:

发作条件:

系统修改:

1,创建一个名为“[SkyNet.cz]SystemsMutex”的互斥体。此互斥体仅允许该蠕虫的一个实例在内存中执行。

将自身复制为 %Windir%winlogon.exe。

2,将值：

"ICQ Net" = "%Windir%winlogon.exe -stealth"

添加到注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

这样，此蠕虫便可在 Windows启动时运行。

3,删除以下值：

Taskmon

Explorer

Windows Services Host

KasperskyAV

这些值位于注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

4,删除以下值：

System.

msgsvr32

DELETE ME

service

Sentry

这些值位于注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

5,删除以下值：

d3dupdate.exe

au.exe

OLE

这些值位于注册表键：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

6,删除值：

System.

该值位于以下注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

删除注册表键：

HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch

病毒特征

1,如果时间介于 2004 年 3 月 2 日（星期二）的 6:00am 到 9:00am，PC 扬声器将连续不断地发出蜂鸣声。 每次蜂鸣都将以随机频率、持续一段长度不等的时间。

2,在驱动器 C 到 Z 上扫描以下文件类型，查找电子邮件地址：

.dhtm

.cgi

.shtm

.msg

.oft

.sht

.dbx

.tbb

.adb

.doc

.wab

.asp

.uin

.rtf

.vbs

.html

.htm

.pl

.php

.txt

.eml

使用它自己的 SMTP 引擎将其自身发送到在上述位置找到的电子邮件地址，向每个地址发送一次。 该蠕虫使用可用的本地 DNS 服务器（通过 API 检索），执行 MX 查找来搜索收件人地址。 如果本地 DNS 不可用，它将对以下硬编码的服务器列表执行查找：

145.253.2.171

151.189.35

193.141.40.42

193.189.244.205

193.193.144.12

193.193.158.10

194.25.2.129

194.25.2.129

194.25.2.130

194.25.2.131

194.25.2.132

194.25.2.133

194.25.2.134

195.185.185.195

195.20.224.234

2185.252.136

2185.252.73

2185.253.70

244.160.8

27.128.162

27.128.165

2191.74.19

25.97.137

62.155.255.16

此类电子邮件具有以下特征：

发件人：<欺骗性地址>

主题：（下列之一）

Re: Your website

Re: Your product

Re: Your letter

Re: Your archive

Re: Your text

Re: Your bill

Re: Your details

Re: My details

Re: Word file

Re: Excel file

Re: Details

Re: Approved

Re: Your software

Re: Your music

Re: Here

Re: Re: Re: Your document

Re: Hello

Re: Hi

Re: Re: Message

Re: Your picture

Re: Here is the document

Re: Your document

Re: Thanks!

Re: Re: Thanks!

Re: Re: Document

Re: Document

消息：（下列之一）

Your file is attached.

Please read the attached file.

Please have a look at the attached file.

See the attached file for details.

Here is the file.

Your document is attached.

附件：（下列之一）

your_website.pif

your_product.pif

your_letter.pif

your_archive.pif

your_text.pif

your_bill.pif

your_details.pif

document_word.pif

document_excel.pif

my_details.pif

all_document.pif

application.pif

mp3music.pif

yours.pif

document_4351.pif

your_file.pif

message_details.pif

your_picture.pif

document_full.pif

message_part2.pif

document.pif

your_document.pif

3,该蠕虫避免向包含以下字符串的地址发送电子邮件：

skynet

messagelabs

abuse

fbi

orton

f-pro

aspersky

cafee

orman

itdefender

f-secur

avp

spam

ymantec

antivi

icrosoft

病毒清除

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器--〉进程”，选中正在运行的进程“Winlogon.exe”，并终止其运行。

2、注册表的恢复

点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的ICQ Net = "%Windows%.exe -stealth"

3、删除病毒释放的文件

点击“开始--〉查找--〉文件和文件夹”，查找文件“Winlogon.exe”，并将找到的文件删除。

4、运行杀毒软件，对系统进行全面的病毒查杀