I-Worm/NetSky.ab

病毒类型：网络蠕虫

病毒大小：17920字节

传播方式：网络

该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化。

具体技术特征如下：

1.病毒运行后，将自身复制为%WinDir%\\csrss.exe

2.在注册表启动项HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下创建：

"BagleAV" = %WinDir%\\csrss.exe

这样，病毒在Windows启动时就得以运行。

3.删除I-Worm/BBeagle.w的注册表启动项，病毒源码中继续向BBeagle作者挑衅：

“Hey Bagle, feel our revenge!”

4.遍历盘符从C到Z的所有驱动器（光盘驱动器除外），在下列种类的文件中搜索合法电子邮件地址：

.a .ad .adb .as .asp .c .cf .cfg .cg .cgi .d .db

.dbx .dh .dht .dhtm .do .doc .e .em .eml .h .ht

.htm .html .j .js .jsp .m .mb .mbx .md .mdx .mh

.mht .mm .mmf .ms .msg .n .nc .nch .o .od .ods

.of .oft .p .ph .php .pl .pp .r .rt .rtf .s .sh

.sht .shtm .st .stm .t .tb .tbb .tx .txt .u .ui

.uin .v .vb .vbs .w .wa .wab .ws .wsh .x .xl

.xls .xm .xml

5.病毒利用其携带的SMTP引擎，发送带毒邮件。发信时会自动过滤掉多家反病毒和信息安全机构的邮箱地址。

6.带毒信件特征如下：

发件人：<伪造>

主题：下列标题之一

Correction

Hurts

Privacy

Password

Wow

Criminal

Pictures

Text

Money

Stolen

Found

Numbers

Funny

Only love?

More samples

Picture

Letter

Question

Illegal

附件是.pif文件，就是病毒程序，可能的文件名有：

corrected_doc.pif

hurts.pif

document1.pif

passwords02.pif

image034.pif

myabuselist.pif

your_picture01.pif

your_text01.pif

your_letter.pif

your_bill.pif

my_stolen_document.pif

visa_data.pif

pin_tel.pif

your_text.pif

loveletter02.pif

all_pictures.pif

your_letter_03.pif

your_picture.pif

abuses.pif

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。