1．病毒中文名：网络天空变种H
2．病毒英文名：Worm.NetSky.h
3．病毒别名：I-Worm.Netsky.gen(AVP)
4．病毒大小：22528字节
5．病毒类型：蠕虫病毒
6．病毒危险等级：★★★★
7．病毒传播途径：网络/邮件
8．病毒依赖系统：WINDOWS9X/NT/2000/XP

二、病毒的破坏
1．发送大量病毒邮件
病毒建立多个线程发送邮件传播，传染速度极快,造成网络阻塞。

2. 使扬声器发声
在2004年3月8日的上午11:00-12:00，该病毒将导致系统扬声器发声，频率随机。

三、病毒特性：

该病毒是用VC++编写,采用PE-PACK加壳,病毒长度为22528字节。病毒运行时会从C到Z的驱动器中的所有.eml、.txt等21种扩展名的文件中搜取email地址，并创建大量线程发送病毒邮件。文件图标像文件夹,如下图：
 

一旦执行,病毒将执行以下操作:

1.本地首先将创建一个名为:"MI[SkyNet.cz]SystemsMutex"的互斥量来保证只运行病毒的一个副本;

2.复制自己到windows目录下:

  %WINDIR%\maja.exe

3.添加如下键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"antivirus" = "%WINDIR%\maja.exe -antivirus service"

4.病毒将删除下列注册表键值<大都是其它病毒建立的键值>:

1)删除子键
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的如下键值:

"Taskmon"
"Explorer"
"system."
"msgsvr32"
"DELETE ME"
"service"
"Sentry"
"Windows Services Host"

2)删除子键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
下的如下键值:

"system."

3)删除子键
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的如下键值:
"Taskmon"
"Explorer"
"d3dupdate.exe"
"au.exe"
"OLE"
"Windows Services Host"
"gouday.exe"
"rate.exe"
"sysmon.exe"
"srate.exe"
"ssate.exe"

4) 删除子键:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WksPatch

5)删除子键:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

注: 这是病毒"SCO炸弹"使用的键值

5.病毒从带有下列扩展名的文件中搜索Email地址:

".eml"   ".rtf"   ".dbx"
".txt"   ".uin"   ".sht"
".php"   ".asp"   ".oft"
".pl"   ".wab"   ".msg"
".htm"   ".doc"   ".shtm"
".html"   ".adb"   ".cgi"
".vbs"   ".tbb"   ".dhtm"

6.病毒使用自带的SMTP引擎向上面搜到的Email地址发送带毒邮件，邮件带有如下特征:

1)标题为下列之一:

"Re: Your briefing"
"Re: Your picture"
"Re: Your loveletter"
"Re: Your TAN"
"Re: Your PIN"
"Re: Your bill"
"Re: Your details"
"Re: My details"
"Re: Zipped folder"
"Re: Secound Part"
"Re: Part 3"
"Re: Part 2"
"Re: Your application"
"Re: Your data"
"Re: Index"
"Re: Appending"
"Re: Hello"
"Re: Hi"
"Re: Your encrypted file"
"Re: Your folder"
"Re: Your file"
"Re: Yours"
"Re: Here the file"
"Re: Approved"
"Re: Document"
"Re: Samples"

2)消息正文为下列之一:

"Your document is attached."
"Here is the file."
"See the attached file for details."
"Please have a look at the attached file."
"Please read the attached file."
"Your file is attached."

3)附件名为下列之一:
"your_document.scr"   "all_document.scr"
"document.scr"    "my_details.scr"
"message_part2.scr"   "document_excel.scr"
"your_document.scr"   "document_word.scr"
"document_full.scr"   "my_details.scr"
"your_picture.pif"    "your_details.scr"
"message_details.scr"   "your_bill.scr"
"your_file.scr"     "your_pin_88.scr"
"your_picture.scr"    "your_tan_33.scr"
"document_4351.scr"   "your_letter.scr"
"yours.scr"     "your_pic.scr"
"mp3music.scr"    "your_briefing.scr"
"application.scr"

4)该病毒不会向包含下列字符的地址发送邮件:
"icrosoft"    "orman"    "messagelabs"
"antivi"    "cafee"    "skynet"
"ymantec"   "aspersky"   "andasoftwa"
"spam"    "f-pro"    "freeav"
"avp"    "orton"    "sophos"
"f-secur"    "fbi"     "antivir"
"itdefender"   "abuse"    "iruslis"

四、病毒解决方案：

1.进行紧急升级
瑞星公司将于3月6日当天进行紧急升级，升级后的软件版本号为16.16.21，该版本的瑞星杀毒软件可以彻底查杀“网络天空”病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的智能升级功能。

2.使用专杀工具
由于该病毒的特性，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载，并进行该病毒的清除。

3.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品是通过手机付费使用的，用户可以登陆：http://online.rising.com.cn/使用在线杀毒产品，或者登陆：http://go.rising.com.cn/使用下载版产品。

4.打电话求救
如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

5.手动清除
（1）打开注册表编辑器,删除如下键值<如果存在的话>:
 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 "antivirus" = "%WINDIR%\maja.exe -antivirus service"
（2）打开任务管理器查看是否存在进程名为: maja.exe,终止它
（3）将%WINDIR%目录下的文件: maja.exe删除

 注:%WINDIR%位Windows系统的安装目录，在win9x,winme,winxp下默认为:C:\WINDOWS,win2k下默认为:C:\WINNT。

五、安全建议：

1.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

2.关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

3.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报， 这样才能真正保障计算机的安全。