该病毒是"震荡波"病毒的第三个变种，该变种则更为凶狠，它开辟1024个线程扫描网络(以前只是开辟128个)，然后利用微软操作系统的缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。

　　依然是利用微软操作系统的LSASS缓冲区溢出漏洞(MS04-011)进行远程主动攻击和传染，导致系统异常和网络严重拥塞，具有极强的危害性。和上一版本相比，病毒攻击方式发生了变化，改成了多线程扫描多进程攻击，而且，病毒产生的病毒文件名和注册表键值也都发生了变化。

　　一、病毒评估

　　1. 病毒中文名： 震荡波变种C
　　2. 病毒英文名：Worm.Sasser.C
　　3. 病毒别名：
　　4. 病毒大小：15872字节
　　5. 病毒类型：蠕虫病毒
　　6. 病毒危险等级：★★★★★
　　7. 病毒传播途径：漏洞
　　8. 病毒依赖系统：Windows 2000/XP/Server2003

　　二、病毒的破坏

　　病毒占用大量的系统和网络资源。中毒的机器变得很慢。由于Windows NT以上操作系统中广泛存在此漏洞，该病毒在网络上传播迅速，造成网络瘫痪。

　　三、病毒报告

　　1.首先拷贝自身到windows目录，名为%WINDOWS%\avserve2.exe(15,872字节)，然后登记到自启动项：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　avserve2.exe = %WINDOWS%\avserve2.exe

　　2.开辟线程，在本地开辟后门。监听TCP 5554端口(支持USER、PASS、PORT、RETR和QUIT命令)被攻击的机器主动连接本地5554端口，把IP地址和端口传过来。本线程负责把病毒文件传送到被攻击的机器。

　　3.病毒开辟1024个扫描线程。以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，如果试探成功，则运行一个新的病毒进程对该目标进行攻击，把该目标的ip地址保存到"c:\win2.log"。

　　4.利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作，以及系统异常等。由于该病毒在lsass.exe中溢出，可以获取管理员的权限，执行任意指令。

　　5.溢出代码会主动从原机器下载病毒程序并运行，开始新的攻击。

　　四、病毒解决方案：

　　1. 进行升级
　　瑞星公司将于当天进行升级，升级后的软件版本号为16.25.01，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站(http://www.rising.com.cn/)下载升级包进行升级，或者使用瑞星杀毒软件的"智能升级"功能。

　　2. 使用专杀工具
　　鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，用户可以到：http://it.rising.com.cn/service/technology/tool.htm网址进行免费下载，并进行该病毒的清除。

　　3. 使用在线杀毒和下载版
　　用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址： http://go.rising.com.cn/来使用下载版产品。

　　4. 打电话求救
　　如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

　　5. 手动清除