从5.1长假的第一天至今天（5月3日），3天内震荡波已经连续出现了4个变种。作为“震荡波”家族的最新成员，D型病毒有哪些改进呢？记者通过联系金山公司的反病毒实验室，将为您揭示震荡波D变种的秘密。

　　 “震荡波”D变种和它的前三个兄长一样，核心思路是利用微软Windows操作系统的一个常驻系统服务的缓冲区溢出漏洞，通过TCP端口攻击其他网上的目标计算机。中招机器又成为新的毒源，如此引起多米诺骨牌效应的大面积传播。

　　 但是通过分析震荡波D变种的几个改进，可以看出该病毒进化过程。首先，前三个变种释放的病毒文件和修改的注册表项都带有avserve字样（A型为avserve.exe、B/C型为avserve2.exe），新的D变种则成了skynetave.exe，这样能有效得防止用户识别病毒体。

　　 D型病毒创建了互斥体SkynetSasserVersionWithPingFast来判断自己是否已经运行，从这个互斥体名称可以有趣的发现：病毒作者似乎希望病毒的攻击速度更快！似乎为了证明这一点，D变种将扫描的线程数从C变种的1024个又改回成128个，并且在连接目标机器之前，会先发送一个ICMP数据包测试目标机器是否可达。可见病毒作者在不断观察自己“作品”的实际效果，不断改进这个病毒，因此，D变种比C变种的传播效率更高，传播过程更隐蔽，传播效果更稳定。同时该变种在扫描的时候特意跳过了一些保留的IP，保证攻击的效率。

　　 D变种在被“攻陷”的机器上的端口从前三个变种的9996改成了9995，以此逃避某些设置好防火墙端口过滤的用户。

　　幸运得是，这个新变种在改进自己的同时却又产生了新的BUG，导致它在某些版本的WinNT/Win2000系统上无法发作，会弹出如下错误信息：

　　

　　金山反病毒实验室表示：其实病毒制作者们也同样在关注着流行病毒，暗中监视着各安全厂商的反应，不断增加新功能、提高稳定性和效率。这种与反病毒厂商“赛跑”的行为给病毒处理的及时性提出了更高的要求，这种“正义”与“邪恶”的智慧较量也会一直持续下去。