I-Worm/NetSky.q

病毒长度：29,568 bytes

病毒类型：网络蠕虫

影响平台：Win9x/Me/2000/2003/XP/NT

I-Worm/NetSky.q是“网络天空”网络蠕虫的最近变种，用FSG压缩过，它在感染计算机上的硬盘和网络映射驱动器上搜索电子邮件地址，利用自带的SMTP引擎通过发送邮件进行传播，也可能会通过拷贝自身到共享软件进行传播。

其传播过程及特征如下：

1.在安装目录下：拷贝自身为FVProtect.exe；置入文件userconfig9x.dll，装载后运行；生成base64.tmp、zip1.tmp、zip2.tmp、zipped.tmp等文件

2.修改注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下添加"Norton Antivirus AV"="%Windir%\\FVProtect.exe"

删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的Explorer，system.，msgsvr32，winupd.exe，direct.exe，

jijbl ，service，Sentry等键值

删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices下的systme和video 键值

删除HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下的Explorer，au.exe，direct.exe，d3dupdate.exe，OLE

gouday.exe，rate.exe，Taskmon，Windows Services Host，sysmon.exe ，

srate.exe，ssate.exe ，winupd.exe等键值

删除HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\PINF子键

删除HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WksPatch子键

删除HKEY_CLASSES_ROOT\\CLSID\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32子键

3.扫描硬盘驱动器下包含下列字符串的文件夹：bear，donkey，download，ftp，htdocs，

http，icq，kazaa，lime，morpheus，mule，my，shared，folder，

shar，shared，iles，upload。蠕虫被复制到这些文件夹下。

4.利用其自身的SMTP引擎向搜索到的电子邮件地址发送带毒邮件。信件特征如下：

发信人：<伪造>

主题：<不一定>

附件：以.pif，.exe或.zip为扩展名的文件

此外蠕虫会自动避免向国内外杀毒厂商发送邮件