i-worm/netsky.aa
病毒类型：网络蠕虫
危害等级：**
影响平台：win9x/2000/xp/nt/me/2003
i-worm/netsky.aa是用pecompact压缩的网络蠕虫病毒，利用自带的smtp引擎群发邮件到从感染计算机硬盘上搜索的合法邮件地址，邮件的主题、正文和附件都是变化的，附件为.pif类型文件。
传播过程及特征：
1.复制自身：
%windir%\winlogon.scr
2.修改注册表：
[hkey_local_machine\software\microsoft\windows\currentversion\run]
"skynetrevenge"="%windir%\winlogon.scr"
3.如果文件名不包含"scr"字符串，会显示标题为error，内容为：outofsystemmemory的信息框。
4.遍历从c到z所有硬盘下.eml.txt.php.cfg.mbx.mdx.asp.wab.doc.vbs.rtf.uin.shtm.cgi.dhtm.abd
.tbb.dbx.pll.sht.oft.msg.ods.stm.xls.jsp.wsh.xml.mht.mmf.nch.ppt等类型文件，搜索有效的邮件地址，并利用自带的smtp引擎发送自身到上述地址以及xdfggra@yahoo.com，邮件主题、正文和附件都是变化的。此外，蠕虫试图利用邮件地址默认的dns服务器，否则使用自带的dns。
5.为安全起见，蠕虫会自动避开国内外安全信息产商，对于包含下列字符的地址不予发送病毒。
icrosoft
antivi
ymantec
spam
avp
f-secur
itdefender
orman
cafee
aspersky
f-pro
orton
fbi
abuse
messagelabs
skynet
andasoftwa
freeav
sophos
antivir
iruslis

注：%windir%为变量，一般为c:\windows或c:\winnt；
%system%为变量，一般为c:\windows\system(windows95/98/me),c:\winnt\system32(windowsnt/2000),
或c:\windows\system32(windowsxp)。