名稱
I-Worm/Sasser.c病毒類型:網路蠕蟲病毒大小:15872位元組
感染系統:Windows 2000/2003/XP
內容
傳播方式:網路該變種震盪波病毒和原病毒大小一樣,都是15872位元組。用來傳播的檔案名稱稱還是:avserve2.exe,其餘的特性都和B型變種一樣:都是不通過郵件傳播,病毒會按照相同的方式直接在網路上搜尋可能感染的機器,它利用微軟的漏洞:MS04-011進行傳播,補丁下載地址:http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
傳播過程及特徵:
(1)修改註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下增加的鍵是:avserve2.exe,值是%Windir%\avserve2.exe,這樣該蠕蟲能隨系統啟動而自動運行。
(2)該病毒能自動判斷記憶體中是否已經有病毒已經運行,如果有的話,則不會運行多於一份。
(3)在TCP的連線埠5554建立FTP伺服器,以便該病毒能繼續傳播到網路上的其他存在漏洞的機器。
(4)隨機在網路上搜尋感染的機器,並試圖通過TCP的445連線埠來進行感染計算機。具體的規則和I-Worm/Sasser一樣。
(5)此變種在B型變種的基礎上改變很少,只有幾個位元組。病毒作者在B變種的基礎上做了微小改動,修改了部分內部參數。
