远程过程调用 (RPC) 是Windows 操作系统使用的一个协议。RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。攻击者利用该漏洞能在受影响的系统上以本地系统权限运行代码，能执行任何操作，包括安装程序，查看、更改或者删除数据，或者建立系统管理员权限的帐户。利用此漏洞的蠕虫病毒也应运而生……

    什么是RPC？

    RPC就是远程过程调用，它是Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。

    7月21日

中国安全专家发现微软严重安全漏洞http://it.rising.com.cn/newSite/Channels/Safety/LatestHole/Hole_Windows/200307/24-152911016.htm

    7月21日(初始发布日期：2003年7月21日 )

微软发布该漏洞的公告：MS03-026：RPC接口任意代码可执行漏洞
http://www.microsoft.com/china/technet/security/bulletin/MS03-026.asp

    8月2日

    发现：Worm.SdBotRPC病毒

病毒介绍：该蠕虫病毒会感染所有的WINDOWS NT/2000/XP/Server 2003平台的计算机。病毒运行时会利用RPC的漏洞攻击网络中的计算机，攻击成功后向远端系统上的RPC系统服务所监听的端口发送攻击代码，造成远端系统无法使用RPC服务或系统崩溃。

    8月8日

发现：Worm.AutoRooter病毒
发现日期：
病毒介绍：该病毒用VB编程语言编写，利用微软最新的RPC漏洞攻击WINDOWS NT/2000/XP/Server 2003等平台的计算机，病毒体是一个压缩包，运行后会释放3个病毒文件： rpc.exe、rpctest.exe、tftpd.exe，rpc.exe是病毒主文件，完成病毒的感染；rpctest.exe是漏洞探测工具，用于探测有RPC漏洞的计算机，tftpd.exe是第三方的ftp工具，用于上传破坏程序。

   
    8月12日

发现：冲击波（Worm.Blaster）病毒
病毒介绍：病毒运行时会不停地扫描网络，然后攻击有RPC漏洞的计算机，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

    8月12日

发现：异形（Worm.Rpc.Zerg）病毒

病毒介绍：该病毒本身是一个自解压包，运行时会释放出15个病毒相关文件：ii.vbe、rn.exe、rrpc.exe、rrpc.vbe、rscan.exe、RSDD.EXE、zerg.vbe、hftp.exe、SlimFTPd.exe、slimftpd.conf、1.txt、2.txt、3.txt、4.txt、5.txt。这些病毒文件之间会进行分工合作，有的扫描网络，有的探测RPC漏洞，有的开后门，危害整个系统。

    附录：该15个文件的作用一览：

ii.vbe        ---病毒的主要功能执行模块， 病毒名：Worm.RPC.Zerg

rn.exe        ---网络工具nc.exe

rrpc.exe      ---探测RPC漏洞的工具，  病毒名：Exploit.DCom.b

rrpc.vbe      ---病毒的自动更新模块，  病毒名：Worm.RPC.Zerg.up

rscan.exe     ---探测RPC漏洞的工具，  病毒名：Exploit.DCom.c

RSDD.EXE      ---后门病毒，   病毒名：Trojan.SdBot.05b.Pak

zerg.vbe      ---病毒运行前执行的清理模块，  病毒名：Wrom.RPC.Zerg.Cleanup

hftp.exe      ---第三方的ftp工具

SlimFTPd.exe  ---第三方的ftp工具

slimftpd.conf ---SlimFTPd.exe的配置文件

1.txt         ---包含IP地址网络号的文本文件

2.txt         ---包含IP地址网络号的文本文件

3.txt         ---包含IP地址网络号的文本文件

4.txt         ---包含IP地址网络号的文本文件

5.txt         ---包含IP地址网络号的文本文件