I-Worm/NetSky.r

病毒大小：28008字节

病毒类型：网络蠕虫

危害级别：***

“网络天空”最新变种I-Worm/NetSky.r在感染计算机上的硬盘和网络映射驱动器上搜索电子邮件地址，并利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化，附件文件以.exe, .pif, .scr, 或 .zip为扩展名，其中部分病毒邮件利用系统漏洞，在不打开邮件时也能传播。病毒还可以通过P2P工具传播。

病毒具体技术特征如下：

1.拷贝自身到%Windir%\\SysMonXP.exe和下列文件：

%Windir%\\base64.tmp

%Windir%\\firewalllogger.txt

%Windir%\\zipo0.tmp

%Windir%\\zipo1.tmp

%Windir%\\zipo2.tmp

%Windir%\\zipo3.tmp

%Windir%\\zippedbase64.tmp

2.在注册表启动项HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下创建："SysMonXP"="%Windir%\\sysmonxp.exe"

这样病毒在Windows启动时就得以运行。

3.删除若干其他病毒添加注册表项，其中包括I-Worm/BBEagle的多个变种

4.%Windir%\\firewalllogger.txt实际上是个DLL文件，病毒进程将调用这个动态链接库完成下面的事情。

5.遍历盘符从C到Z的所有硬盘及映射驱动器，在下列种类的文件中搜索合法电子邮件地址：

.ppt .xls .stm .ods .nch .mmf .mht .mdx .mbx

.cfg .xml .wsh .jsp .htm .pl .dbx .tbb .adb

.dhtm .cgi .shtm .uin .rtf .vbs .msg .oft .sht

.doc .wab .asp .php .txt .eml

6.病毒避免给若干反病毒公司和信息安全公司发送病毒邮件。