利用微软的LSASS漏洞进行传播，该病毒会清除“震荡波”和“冲击波”，但同样会造成网络堵塞和系统异常重启，传播感染速度可能会非常快。另外，病毒在系统时 间为5月18日时，对BBC.COM、BBCNEWS.com和IRNA.com(伊斯兰共和新闻社)进行拒绝服务攻击。从病毒体里留下的信息来看，该病毒的作者可能是对伊朗政府不满的人，他在病毒里公布信息说对伊朗的人权和自由不满意，以病毒攻击的方式来进行发泄。

　　一、病毒评估

　　1．病毒中文名：震荡波杀手
　　2．病毒英文名：Worm.Cycle.a
　　3．病毒别名： W32.Cycle(Symantec)
　　4．病毒大小：10,240字节
　　5．病毒类型：蠕虫病毒
　　6．病毒危险等级：★★★★
　　7．病毒传播途径：网络,文件感染
　　8．病毒依赖系统：Windows NT/2000/XP

　　二、技术细节

　　病毒运行后将自己复制到%WINDIR%\system目录下，文件名：svchost.exe并在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run及HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru中加入自己的键值：Generic Host Service，病毒也将自己注册成服务以这些方式达到随系统启动而运行的目的。

　　病毒将建立一些病毒使用的互斥量，使中了该病毒的系统将对一些病毒有免疫力。这些互斥量为：Jobaka3、Jobaka3l、SkynetSasserVersionWithPingFast、JumpallsNlsTillt当病毒发现系统进程存在以下进程名时将杀死该进程：msblast.exe、avserve.exe、avserve2.exe、skynetave.exe接着病毒将启动一些功能线程实现病毒的一些动作。

　　1.tftp服务器：

　　病毒将监听69端口，实现一个tftp服务器。用来在利用漏洞攻击成功时把病毒文件传到被攻击系统上以达到传播的目标。

　　 2.利用漏洞对和当前系统存在连接的系统进行攻击

　　病毒得到所有已和当前系统建立TCP联接的系统地址，并尝试利用漏洞MS-4011对其进行攻击。

　　3.后门：

　　病毒在监听TCP的 3332端口，以实现一个后门服务。（该功能没有完成，可能在下一个版本里进行完善。）

　　4.对局域网进行攻击

　　病毒得到当前系统的IP地址，并以此为基数进行计算，尝试利用漏洞MS-4011对其得到的ip地址进行攻击。

　　5.Dos攻击

　　当系统时间为5月18号以后时，病毒将对www.irna.com或www.bbc.com，www.bbcnews.com发动dos攻击.