该病毒利用了Windows LSASS的一个已知漏洞(MS04-011)，这个一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。

　　病毒名称： "震荡波"病毒 Worm_Sasser
　　其它英文命名：暂无
　　感染系统：WinNT/Win2000/WinXP/Win2003
　　病毒长度：15872字节

　　病毒特征：

　　1、生成病毒文件

　　病毒运行后，在%Windows％目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件

　　例如: c:\win.log : IP地址列表
　　　　　c:\WINNT\avserve.exe : 蠕虫病毒文件本身
　　　　　c:\WINNT\system32\11113_up.exe : 可能生成的蠕虫文件本身
　　　　　c:\WINNT\system32\16843_up.exe : 可能生成的蠕虫文件本身

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
　　"avserve"=”c:\WINNT\avserve.exe”

　　3、通过系统漏洞主动进行传播

　　病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。

　　4、危害性

　　受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A 类或B类子网地址，目标端口是TCP 445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP 9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。

　　清除该病毒的相关建议：

　　1、安全模式启动
　　重新启动系统同时按下按F8键，进入系统安全模式

　　2、注册表的恢复
　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双
　　击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
　　CurrentVersion>Run ，并删除面板右侧的"avserve"="c:\winnt\avserve.exe"

　　3、删除病毒释放的文件
　　点击"开始--〉查找--〉文件和文件夹"，查找文件"avserve.exe" 和"*_up.exe"，并将找到的文件删除。

　　4、安装系统补丁程序
　　到以下微软网站下载安装补丁程序：
　　http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
　　或者在IE浏览器的工具－>Windows Update升级系统。

　　5、重新配置防火墙

　　重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996;

　　目前国家计算机病毒应急处理中心已经将发现的病毒样本通知各防病毒厂家，目前各厂家正在进行产品升级。同时提醒广大计算机用户注意监测其变种出现，一旦发现请立即与国家计算机病毒应急处理中心取得联系。

　　国家计算机病毒应急处理中心
　　计算机病毒防治产品检验中心
　　网 址：Http://www.antivirus-China.org.cn
　　电　　话：022-66211488/66211489/66211490
　　传　　真：022-66211487
　　电子邮件：sos@antivirus-China.org.cn