Netsky.QとかNetsky.Pとかのメールを見てますけど、URLの特徴は

• 自分ところにありそうなWebサーバ

がハイパーリンクの偽装URLに使われます。
オレの場合、WebメールのURLが「明らかに不審」だったので、「おかしい」と気づいて調べたら…という感じなんですが。

ユーザに「添付ファイルを開くな」といったら、ホントに（Outlook Expressとかで）クリップマークのところをごにごにはやらんと思います。
しかし、本文中に挿入されているURLをクリックしないという保証はどこにもありません。そしてそのURLが自組織内のサーバのものに見えたならばなおさらです。

結論：

• 怪しいメールについてきた添付ファイルは開くな（従来どおり）
• 怪しいメールについてきたURLをクリックするな

という感じです（汗）。
もう一度念押しという感じで。

補足：
変に知識のある*1サーバ管理者やユーザほどひっかかりそうな気がするです…＞このワーム