I-Worm/NetSky.f
I-Worm/NetSky.f是“网络天空”的又一变种,可以利用自身的SMTP引擎通过电子邮件向外群发自身进行传播, 其目标地址是从所有硬盘驱动器以及网络映射驱动器中搜索到的。邮件的主题、附件都是变化的,附件一般是.pif文件。如果被感染计算机的系统时间是2004年3月2日的上午6点和9点之间,那么机器会不停地发出响声。病毒在系统安装目录(默认为Windows或者Winnt)下复制自己为svchost.exe,在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加"Zone Labs Client Ex"="%windir%svchost.exe -antivirus service" 键值;删除注册表 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下的Taskmon Explorer KasperskyAV system.
msgsvr32 DELETE ME service Sentry Windows Service Host 键值、
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下的 Explorer KasperskyAV system. d3dupdate.exe au.exe OLE
Windows Service Host gouday.exe rate.exe sysmon.exe 键值、
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerPINF 子键、
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWksPatch 子键;此外病毒会自动避免向各个杀毒厂商发送自身。
