来自北京江民科技反病毒小组的最新消息：江民科技在节日期间的两天内就发现了这一个病毒的三个变种。

　　同时根据病毒的情况来看，极有可能出现更多的变种，江民科技提醒广大计算机用户及时升级微软的最新补丁。

　　同时智能升级您的江民杀毒软件KV2004。

　　最新的变种I-Worm/Sasser.c和.b的区别在于编译的时间不同，从这点来看，该病毒的编制者可能在关注反病毒厂商的升级程序，同时也在和反病毒厂商暗中较量。

　　江民科技已经紧急升级了最新变种的查杀病毒库，同时江民科技特别提醒广大的用户及时升级，设置江民黑客防火墙的规则设置。同时升级微软的补丁程序。更多详细情况请关注：http：//www.jiangmin.com。

附：I-Worm/Sasser　(震荡波)网络蠕虫病毒的技术分析报告
　　蠕虫长度：15872字节
　　传播途径：通过互连网传播，但是不通过邮件传播。
　　传播利用的是微软的漏洞：MS04-011　
　　详细描述在http：//www.microsoft.com/technet/security/bulletin/MS04-011.mspx
　　特性：
　　(1)该蠕虫不象往常的蠕虫那样通过邮件传播，而只是通过系统漏洞传播。
　　(2)该蠕虫用来传播的文件名称是：avserve.exe　(大小是15872字节)
　　(3)该蠕虫不通过邮件等传统蠕虫利用的途径传播，它的传播不需要人为的干预，该蠕虫能自动在网络上搜索含有漏洞的系统，并引导这些有漏洞的系统下载病毒文件并执行。
　　(4)从TCP的1068端口开始搜寻可能的IP地址并试图传播。
　　(5)在TCP端口5554，建立FTP文件服务器，该蠕虫能自动创建FTP脚本文件，并运行该脚本。该脚本能自动引导
　　被感染的机器下载执行蠕虫程序。所有这些操作的进行都是通过TCP端口5554进行的。

　　文件特征：
　　c：\win.log　：　IP地址列表
　　c：\windows\avserve.exe　：　蠕虫病毒文件本身
　　c：\WINDOWS\system32\11113_up.exe　：　可能生成的蠕虫文件本身
　　c：\WINDOWS\system32\16843_up.exe　：　可能生成的蠕虫文件本身

　　注册表特征：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run　
　　“avserve.exe”　=　C：\WINDOWS\avserve.exe　
　　该特征是为了保证该蠕虫能随系统启动自动运行。

　　系统副作用：感染的系统可能重新启动机器；原因是该蠕虫可能导致系统文件LSASS.EXE的崩溃。　
　　这是计算机用户除了通过文件查看是否感染外的最直接的表现形式。从某种意义上说：该病毒有的类似
　　I-Worm/Blaster冲击波病毒的破坏表现形式。

　　江民科技用户处理对策：
　　(1)安装系统补丁程序：http：//www.microsoft.com/technet/security/bulletin/MS04-011.mspx
　　(2)利用江民黑客防火墙关闭TCP端口5554；
　　(3)利用江民黑客防火墙关闭TCP端口1068；
　　(4)升级江民杀毒软件KV2004到最新版到2004年5月1日的病毒库，来全盘搜索整个系统。
　　(5)删除病毒增加的注册表键值。
　　(6)开启KV2004的各项监视开关来预防病毒的入侵。