发现日期：5月9日
病毒中文名：震荡波变种E
病毒英文名：Worm.Sasser.e
病毒危险等级：★★★★★
传播途径：网络
行为类型：Windows下的蠕虫病毒
危害系统：Windows NT/2000/XP

概述：

    Worm.Sasser的变种。开辟128个线程扫描网络。此蠕虫病毒利用微软操作系统的缓冲区溢出漏洞（MS04-011）进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。

    病毒作者在此个变种里写入信息，宣称一个名叫“SkyNet Team”的组织编写了此病毒变种。这似乎意味着，瑞星反病毒工程师的预测不幸成为现实：德国警方逮捕“震荡波”病毒的行为并没有能够阻止别人继续编写此病毒的变种，病毒代码可能已经外泄。

一、病毒的破坏 

    病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪。攻击失败会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统崩溃等。

二、技术细节分析

    1.首先拷贝自身到windows目录，名为%WINDOWS%\skynetave.exe(16384字节)，然后登记到自启动项。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     lsasss.exe = %WINDOWS%\lsasss.exe
   病毒删除键名为:Drvddll_exe，drvsys.exe，ssgrate.exe的注册表键值。

    2.开辟线程，在本地开辟后门。监听TCP 1023端口（支持USER、PASS、PORT、RETR和QUIT命令）,该线程实现一个ftp服务功能，被攻击成功的系统将利用从当前系统把病毒文件复制过去。达到传播的目的。

    3.病毒开辟128个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，把该目标的ip地址保存到“c:\ftplog.txt”。

    4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。

    5.溢出代码会主动从原机器下载病毒程序，运行起来，开始新的攻击。

    6.病毒调用系统的函数阻止系统关闭，并在2小时后（病毒认为完成所有的攻击“任务”时）将显示一个消息框。提示信息如下：

     1. Your computer is affected by the MS04-011 vulnerability。（你的计算机已经因MS04-011漏洞而被感染。）
     2. It can be that dangerous computer viruses similar。the Blaster worm infect your computer..（和冲击波同样危险的病毒可能会感染你的计算机）
     3. Please update your computer with the MS04-011 LSASS patch..   
        from the www.microsoft.com website..（请通过微软网站升级MS04-011 LSASS补丁）
     4. This is an message from the SkyNet Team for..    
        malicious activity prevention（此消息由SKYNET小组发布，以阻止恶意行动。）

四、病毒解决方案：

    1. 进行升级

    瑞星公司将于当天进行升级，升级后的软件版本号为16.25.31，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。

    2. 使用专杀工具

    鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：http://download.rising.com.cn/zsgj/RavSasser.exe 网址进行免费下载，并进行该病毒的清除。

    3. 使用在线杀毒和下载版

    用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址：http://go.rising.com.cn来使用下载版产品。

    4. 打电话求救

    如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

    5. 手动清除

    请用户立即给系统打最新的补丁

http://www.microsoft.com/china/technet/security/bulletin/ms04-011.mspx

打补丁需要重新启动，如果机器不能重新启动（比如核心网络服务器），

可以下载瑞星的内存专杀（全球独家提供）。

手动清除方法：

（1）打开注册表编辑器,删除如下键值<如果存在的话>:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    "lsasss.exe" = "%WINDOWS%\lsasss.exe"
（2） 打开任务管理器查看是否存在进程名为: lsasss.exe,终止它

（3）删除%WINDOWS%\lsasss.exe
     注：%WINDOWS% 是指系统的windows目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS,
     Win2K下默认为:C:\WINNT。

 注:%SYSDIR%位Windows系统的安装目录，在Windows 9X/ME/XP下默认为:C:\WINDOWS\SYSTEM,Win2K下默认为:C:\WINNT\SYSTEM32。