震蕩波(Shockwave)是一種電腦病毒，為I-Worm/Sasser.a的第三方改造版本。

介紹：該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同，也為通過(guò)微軟的最新LSASS漏洞進(jìn)行傳播，我們及時(shí)提醒廣大用戶及時(shí)下載微軟的補(bǔ)丁程序來(lái)預(yù)防該病毒的侵害。如果在純DOS環(huán)境下執(zhí)行病毒文件，會(huì)顯示出譴責(zé)美國(guó)大兵的英文語(yǔ)句。

具體技術(shù)特征如下：

1.感染系統(tǒng)為：Windows 2000、Windows Server 2003、Windows XP、Windows 7

2.利用微軟的漏洞：MS04-011;　3.病毒運(yùn)行后，將自身復(fù)制為%WinDir%napatch.exe

4.在注冊(cè)表啟動(dòng)項(xiàng)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun下創(chuàng)建："napatch.exe" = %WinDir%napatch.exe;這樣，病毒在Windows啟動(dòng)時(shí)就得以運(yùn)行。

5.在TCP端口5554建立FTP服務(wù)，用以將自身傳播給其他計(jì)算機(jī)。

6.隨機(jī)在網(wǎng)絡(luò)上搜索機(jī)器，向遠(yuǎn)程計(jì)算機(jī)的445端口發(fā)送包含后門(mén)程序的非法數(shù)據(jù)，遠(yuǎn)程計(jì)算機(jī)如果存在MS04-011漏洞，將會(huì)自動(dòng)運(yùn)行后門(mén)程序，打開(kāi)后門(mén)端口9996。病毒利用后門(mén)端口9996，使得遠(yuǎn)程計(jì)算機(jī)連接病毒打開(kāi)的FTP端口5554，下載病毒體并運(yùn)行，從而遭到感染。

7.病毒還會(huì)利用漏洞攻擊LSASS.EXE進(jìn)程，被攻擊計(jì)算機(jī)的LSASS.EXE進(jìn)程會(huì)癱瘓，Windows系統(tǒng)將會(huì)有1分鐘倒計(jì)時(shí)關(guān)閉的提示。

8.病毒在C:win32.log中記錄其感染的計(jì)算機(jī)數(shù)目和IP地址

如何防范“震蕩波”

首先，用戶必須迅速下載微軟補(bǔ)丁程序，作為對(duì)于該病毒的防范。

金山或者瑞星用戶迅速升級(jí)殺毒軟件到最新版本，然后打開(kāi)個(gè)人防火墻，將安全等級(jí)設(shè)置為中、高級(jí)，封堵病毒對(duì)該端口的攻擊。非金山或者瑞星和360用戶迅速下載免費(fèi)的專殺工具。

如果用戶已經(jīng)被該病毒感染，首先應(yīng)該立刻斷網(wǎng)，手工刪除該病毒文件，然后上網(wǎng)下載補(bǔ)丁程序，并升級(jí)殺毒軟件或者下載專殺工具。手工刪除方法：查找C:WINDOWS目錄下產(chǎn)生名為avserve.exe的病毒文件，將其刪除。