I-Worm/NetSky.aa

I-Worm/NetSky.aa

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/NetSky.aa是用PECompact压缩的网络蠕虫病毒，利用自带的SMTP引擎群发邮件到从感染计算机硬盘上搜索的合法邮件地址，邮件的主题、正文和附件都是变化的，附件为.pif类型文件。

传播过程及特征：

1.复制自身：

%Windir%\\Winlogon.scr

2.修改注册表：

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"SkynetRevenge"="%Windir%\\winlogon.scr"

3.如果文件名不包含"scr"字符串，会显示标题为Error，内容为：Out of system memory 的信息框。

4.遍历从C到Z所有硬盘下.eml .txt .php .cfg .mbx .mdx .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .abd

.tbb .dbx .pl .htm .html .sht .oft .msg .ods .stm .xls .jsp .wsh .xml .mht .mmf .nch .ppt等类型文件，搜索有效的邮件地址，并利用自带的SMTP引擎发送自身到上述地址以及xdfggra@yahoo.com，邮件主题、正文和附件都是变化的。此外，蠕虫试图利用邮件地址默认的DNS服务器，否则使用自带的DNS。

5.为安全起见，蠕虫会自动避开国内外安全信息产商，对于包含下列字符的地址不予发送病毒。

icrosoft

antivi

ymantec

spam

avp

f-secur

itdefender

orman

cafee

aspersky

f-pro

orton

fbi

abuse

messagelabs

skynet

andasoftwa

freeav

sophos

antivir

iruslis

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。