◆新種ワームはBlasterよりも悪質，気が付きにくい上にネットワークを“まひ”させる
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20030820/2/

感染するために起動したバックドア（リモート・シェル）をそのままにする（Blasterの場合には，感染後終了させる）

だとすれば、

感染元コンピュータは69(UDP)ポートを使用してTFTPサーバを起動する。(MSBLAST.A,B,C,D)
感染先コンピュータ上で4444(TCP)ポートを使用したリモートシェルを起動する。(MSBLAST.A,B,C)
感染先コンピュータ上で707(TCP)ポートを使用したリモートシェルを起動する。(MSBLAST.D)

これらの特徴から

nmap -sS 192.168.1.* -p 707

とすれば、同一セグメント上にある感染マシンを探すことができるのだろうか。

8/27追記
Gaobot(Agobot)は、バックドアプログラムのダウンロード待ち受け用に22226(TCP)ポートを開く