Worm.Win32.Autorooter

這是一個多組件構成的Win32蠕蟲，它被設計成通過本地或互聯網進行傳播，在當前版本中它的傳播歷程已經停止。

它的名字來源於自身的主要組件的文本字符串

rpc autorooter by ERIC

RPC autorooter

Autorooter利用Windows的DCOM RPC服務的漏洞，在Microsoft Security Bulletin MS03-026中有關於該漏洞的詳細描述。

它是Win32 SFX ZIP自解壓包，約為114KB，含有以下三個文件：

· rpc.exe - 41KB, 主要組件，檢測為Worm.Win32.Autorooter

· tftpd.exe - 144KB, 合法的FTP服務器

· rpctest.exe - 95KB,開發工具，檢測為Exploit.Win32.DCom

SFX壓縮包自解壓後會在C：根目錄下釋放以上三個文件，並動行rpc.exe

Rpc.exe組件會運行tftpd.exe並設法從遠程站點上下載lolx.exe文件，lolx.exe是典型的後門程序，它會被AVP檢測為Backdoor.SdBot.gen病毒

然後該蠕蟲會設法通過445端口與隨機產生的IP地址產生連接，這個隨機的IP地址(a.b.c.d)通過以下的算法產生：

'a'值會從以下的數值列表中選擇：

24, 12, 211, 217, 218, 220, 4, 68, 165, 65, 213, 64, 208, 128

'b'值在0到255之間隨時選擇，'c' 'd'的值是1到255中的所有數值。

例如：如果'a'是68，'b'是120，那麼該蠕蟲就會在68.120.0.1 - 68.120.255.255這個範圍內嘗試連接所有的機器。

它通過445端口連接到遠程計算機，然後把rpctest.exe文件傳送給對方，這個組件將造成感染機器的緩衝區溢出，並通過57005端口打開遠程計算機的shell界面。

rpctest.exe 組件

這是一個開發工具，它含有以下文本字符串：

USE THE FORZ LUKE!

tftd.exe 組件

這是一個合法的HaneWin TFTP服務器，它開放69端口下載後門程序。

儘管這個蠕蟲病毒並不含有自動複製的功能，我們仍然定位它是一個在蠕蟲類型病毒，因為它表現的蠕蟲特性比後門程序或黑客工具更多一些。

我們相信現在的這個版本僅僅是個測試版，在新版中它會含有足夠的自我複製能力，病毒作者可能的目標是先廣泛散佈該病毒，為將來利用。