I-Worm/Sasser.b
病毒大小:15872字节
病毒类型:网络蠕虫
危害等级:****
感染系统:Windows 2000/2003/XP
该变种震荡波病毒和原病毒大小一样,都是15872字节.只是用来传播的文件名称变了:avserve2.exe ,其余的特性都和原变种一样:都是不通过邮件传播,病毒会按照相同的方式直接在网络上搜索可能感染的机器,江民科技及时提醒广大用户及时下载微软的补丁程序来预防该病毒的侵害。下载地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
传播过程及特征:
(1)修改注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加键值:"avserve2.exe" = %Windir%avserve2.exe.
这样该蠕虫能随系统启动而自动运行。
(2)该病毒能自动判断内存中是否已经有病毒已经运行,如果有的话,则不会运行多余一份。
(3)在TCP的端口5554建立FTP服务器,以便该病毒能继续传播到网络上的其他存在漏洞的机器。
(4)随机在网络上搜索感染的机器,并试图通过TCP的445端口来进行感染计算机.具体的规则和I-Worm/Sasser一样。
注:%Windir%为变量,一般为C:Windows 或 C:Winnt。