I-Worm/NetSky.k

I-Worm/NetSky.k是I-Worm/NetSky.d以来的又一个传播比较广的“网络天空”病毒变种。属于群发邮件的网络蠕虫类病毒，它可以利用自身的SMTP引擎通过电子邮件向外发送病毒自身进行传播,并遍历驱动器中文件夹并将病毒自身复制到这些文件夹中。

此病毒的传播过程如下：

1.将病毒自身复制到Windows的安装路径下（默认为Windows或者Winnt），文件名为Winlogon.exe。

2.在系统注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添加

"ICQ Net" = "%Windir%\\winlogon.exe -stealth"键值，以使生成的病毒体文件可以与Windows系统一同启动，

3.删除注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下的键值

"Taskmon" "Explorer" "KasperskyAv" "system." "msgsvr32"

"DELETEME" "service" "Sentry" "Windows Services Host"

4.删除下列注册表键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的System.

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的"Taskmon" "Explorer" "KasperskyAv" "d3dupdate.exe" "au.exe"

"OLE" "Windows ervices Host"

5.删除下列注册表子键：

HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\PINF

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\WksPatch

6.在所有硬盘驱动器以及映射驱动器中的下列文件类型中搜索有效的Email地址，作为传播对象：

.dhtm .cgi .shtm .msg .oft .sht .dbx .tbb .adb

.doc .wab .asp .uin .rtf .vbs .html .htm .pl .php

.txt .eml

7.利用自身的SMTP引擎向所有找到的Email地址发送带有病毒的电子邮件，每个地址将发送一次。病毒试图得到本地DNS（通过调用API函数），如果得到则针对收信人进行MX查询，否则使用病毒自带的DNS.

8.病毒还会自动的避免向各个杀毒厂商发送所带病毒邮件.

9.如果被感染计算机的系统时间是2004年3月2日的上午6点和9点之间，病毒会使计算机的喇叭不停地发出响声。

10.病毒的邮件主题、内容和附件都是可变的，其附件为.pif文件。