2月26日,瑞星全球反病毒监测网率先截获“网络天空”病毒的一个变种,并命名为“网络天空变种C”(Worm.NetSky.c)病毒。据瑞星反病毒工程师介绍,该病毒的技术特性跟原病毒相似,都会疯狂发送带有病毒的邮件,同时会试图清除“SCO炸弹”和“小邮差变种T”病毒。
一旦执行,病毒将首先在本地创建一个名为“[SkyNet.cz]SystemsMutex.”的互斥量,保证只运行病毒的一个副本,复制自己为windows目录下的Winlogon.exe文件,然后修改注册表实现自启动。
病毒会删除注册表启动项中的一些键值,包括“Taskmon”、“Explorer”、“Windows Services Host”、“KasperskyAV”(小邮差变种T的键值)等等。从二十多种文件中搜索Email地址,利用自带的SMTP引擎向搜到的Email地址发送带毒邮件,这些带毒邮件的大量传播会消耗网络资源,严重时造成网络不畅。
病毒会搜索除C盘之外的所有磁盘,搜索带有“shar”字符的文件夹,复制自己到这个文件夹和文件夹的所有子目录下。病毒还会在Windows目录下创建ZIP格式的文件,文件中带有病毒。