Worm.Win32.Autorooter

这是一个多组件构成的Win32蠕虫，它被设计成通过本地或互联网进行传播，在当前版本中它的传播历程已经停止。

它的名字来源于自身的主要组件的文本字符串

rpc autorooter by ERIC
RPC autorooter

Autorooter利用Windows的DCOM RPC服务的漏洞，在Microsoft Security Bulletin MS03-026中有关于该漏洞的详细描述。

它是Win32 SFX ZIP自解压包，约为114KB，含有以下三个文件：

· rpc.exe - 41KB, 主要组件，检测为Worm.Win32.Autorooter
· tftpd.exe - 144KB, 合法的FTP服务器
· rpctest.exe - 95KB,开发工具，检测为Exploit.Win32.DCom

SFX压缩包自解压后会在C：根目录下释放以上三个文件，并动行rpc.exe

主要组件 rpc.exe

Rpc.exe组件会运行tftpd.exe并设法从远程站点上下载lolx.exe文件，lolx.exe是典型的后门程序，它会被AVP检测为Backdoor.SdBot.gen病毒
然后该蠕虫会设法通过445端口与随机产生的IP地址产生连接，这个随机的IP地址(a.b.c.d)通过以下的算法产生：

'a'值会从以下的数值列表中选择：

24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128

'b'值在0到255之间随时选择，'c' 'd'的值是1到255中的所有数值。

例如：如果'a'是68，'b'是120，那么该蠕虫就会在68.120.0.1 - 68.120.255.255这个范围内尝试连接所有的机器。
它通过445端口连接到远程计算机，然后把rpctest.exe文件传送给对方，这个组件将造成感染机器的缓冲区溢出，并通过57005端口打开远程计算机的shell界面。

rpctest.exe 组件

这是一个开发工具，它含有以下文本字符串：

USE THE FORZ LUKE!

tftd.exe 组件

这是一个合法的HaneWin TFTP服务器，它开放69端口下载后门程序。

总结

尽管这个蠕虫病毒并不含有自动复制的功能，我们仍然定位它是一个在蠕虫类型病毒，因为它表现的蠕虫特性比后门程序或黑客工具更多一些。
我们相信现在的这个版本仅仅是个测试版，在新版中它会含有足够的自我复制能力，病毒作者可能的目标是先广泛散布该病毒，为将来利用。

强烈建议：

· 打上相关补丁 the patch
· 在防火墙上阻止 TCP 135, 139和445端口