* 由于不同的杀毒软件有不同的命名，以上只节选了一些常见的名字 *

另外的名字还有：Win32.RPC.A [CA], Worm.Win32.Autorooter.a [KAV], Backdoor.IRCBot.gen [KAV], Exploit.Win32.DCom.b [KAV], Downloader-DM [McAfee], W32/Lolol.worm.gen [McAfee], Exploit-DcomRpc [McAfee]

病毒发作的典型特征：出现系统即将关机警告，一般是60秒倒计时，关机消息框中提示“RPC服务意外终止，Windows必须重新启动”。



产生原因：Windows 中的安全漏洞 —— RPC 接口中的缓冲区溢出可能允许执行代码
受影响的操作系统：
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
最高严重等级：严重
微软已经发布了MS03-026安全警告：
中文介绍： http://www.microsoft.com/china/technet/sec...in/MS03-026.asp
英文介绍： http://www.microsoft.com/technet/treeview/...in/MS03-026.asp

请大家赶快下载补丁程序更新自己的操作系统（建议使用 http://windowsupdate.microsoft.com 下载并安全全部关键更新程序，特别是标号为823980的更新程序）

黑客程序存在特征：
在逻辑C盘下存在文件Rpc.exe,Rpctest.exe以及Lolx.exe（有任何一个都有可能中了病毒，特别是rpc.exe）。

该蠕虫病毒利用RPC的DCOM接口的漏洞，向远端系统上的RPC系统服务所监听的端口发送攻击代码，从而达到传播的目的。受感染的系统向。IRC是比较常用的聊天工具，这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门，等待远端控制者的命令，或是通过IRC进行病毒的升级等操作。

金山公司已经推出专杀工具方便没有杀毒软件的用户使用 http://www.duba.net/download/3/91.shtml

最后再次提醒大家一定要下载标号为823980的更新程序

另外，请检查你的启动组有没有vbe文件的启动项，如果有的话请删除该启动项。

如果杀毒以后还是出现，按照下面步骤操作
打开控制面板——管理工具——服务，找到Remote Procedure Call，双击，设置启动为自动。

AD:光气气体检测仪、探测器、报警器

Worm.Win32.Autorooter利用Windows的漏洞发起攻击 尽快给你的计算机打上最新补丁(转载自Kaspersky)

Kaspersky Labs 宣布检测到一个新的互联网蠕虫病毒 Worm.Win32.Autorooter. 该病毒会发送大量的垃圾邮件，所幸，该蠕虫并没有自我复制功能，因此不会广泛传播。
然而，Autorooter病毒是利用了两周前公布的Windows NT, Windows 2000 和 XP 漏洞，预计病毒的作者有可能激活了该漏洞的复制功能，因此我们强烈建议用户尽快从微软网站上下载并安装相关补丁。

Autorooter 是后门和蠕虫功能混合型的病毒。它包括三个组件 —— 蠕虫载体、FTP 服务器文件、攻击模块（通过微软漏洞），攻击模块首先会引起操作系统缓冲器出溢同时并加载其它组件。几周前这个漏洞被发现时，微软就公布了相关的补丁MS03-026。

因为 Autorooter 当前版本没有自我复制功能，虽然在互联网传播有一些限制，但通过内置的 FTP 服务器会加载 IRCvot 木马程序。一旦运行起该木马将允许黑客操控你的计算机。

Kaspersky Labs 反病毒研发负责人 Eugene Kaspersky 说："我们认为现在这个病毒只是一个测试版，更多的变种可能即将出现，并对互联网造成严重的危害。Autorooter 病毒制造者很可能是想先创建一个染毒的网络环境，然后为它后续的病毒感染或黑客攻击做铺垫。"

Kaspersky Labs 的病毒专家强烈建议用户下载微软的补丁MS03-026，并阻止 TCP 的135、139、445 端口连接。