该蠕虫病毒是一个针对MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞的蠕虫。因为该漏洞影响所有没有安装MS03-026补丁的Windows 2000、Windows XP、Windows 2003系统，不仅是服务器，也包括个人计算机在内，所以危害极大。
    该蠕虫大小为10240字节。用VC 6.0编译，upx 压缩。
    蠕虫感染系统后首先将%systemroot%system32dllcache ftpd.exe拷贝到%systemroot%system32winssvchost.exe，创建服务“RpcTftpd”，显示名称设置为：“Network Connections Sharing”，并将MSDTC服务的描述信息复制给自己；再将自身拷贝到%systemroot%system32winsdllhost.exe，创建服务“RpcPatch”，显示名称设为“WINS Client”，并将Browser服务的描述信息复制给自己。这两个服务在服务管理器中是看不见的。但是启动后，用net start命令可以看到，用其他服务管理实用程序也可以看到。
    然后蠕虫会根据系统语言版本是简体中文、繁体中文、韩文、英文以及系统是Windows 2000还是Windows XP分别到微软站点下载相应的MS03-026补丁，并用-n -o -z -q的参数来安装，-n表示不创建备份文件，-o表示覆盖文件不提示，-z表示安装完后不重新启动，-q表示安静模式。如果是日文版，则不作修复。
     检测是否有名为“RpcPatch_Mute”的互斥体存在，如果检测到该互斥体，蠕虫就会退出，如果没有，就创建一个。
     蠕虫选择目标IP地址的时候会首先选择受感染系统所在子网的IP，然后再按照一定算法随机在互连网上用ICMP扫描的方法寻找存活主机，发送的ICMP报文类型为echo，总大小为92字节，数据区为64字节的小写字母“a”。由于发送的ICMP流量很大，可导致网络阻塞。这是蠕虫的主要危害。
     一旦找到存活主机，就会尝试用DCOM RPC溢出。溢出成功后监听本机随机的一个小于1000的TCP端口，等待目标主机回连，连接成功后首先发送“dir dllcache ftpd.exe”和“dir winsdllhost.exe”命令，根据返回字符串判断目标系统上是否有这两个文件，如果目标系统上有tftpd.exe文件，则“copy dllcache ftpd.exe winssvchost.exe”，如果没有，就利用自己建立的tftp服务将文件传过去。并根据tftp命令的返回判断是否执行成功，若成功，就执行，不成功则退出。
     该蠕虫还利用了WebDAV漏洞，如果目标主机存在该漏洞，既使在防火墙上阻塞了TCP/135端口，也会受影响。
     蠕虫会检测系统时间，如果系统时间是2004年，就自动清除自身。
     有趣的是，该蠕虫运行的时候会判断内存中是否有msblast蠕虫的进程，如果有就将其清除，如果system32目录下有msblast.exe文件，就删除。
 
 
 
 
 
  1、检测是否被蠕虫感染：
 
   （1）、检查系统的%systemroot%system32wins目录下是否存在dllhost.exe或svchost.exe文件，如果有，则说明您已经被感染。（%systemroot%是指Win2000的winnt、Winxp的windows）
 
   （2）、点击左下角的“开始”菜单，选择“运行”，其中键入“cmd”，点击“确定”。这样就启动了命令提示符。在其中键入“net start”，查看是否存在如下两个服务：“RpcTftpd”和“RpcPatch”，若存在则表示已感染病毒。
 
   2、在感染病毒的情况下，可按照如下步骤清除病毒：
 
   （1）、参照清除“W32.Blaster.Worm”病毒方法，安装系统补丁。
 
   （2）、点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定”。这样就启动了命令提示符。在其中键入：
           net stop RpcPatch
           net stop RpcTftpd
 
   （3）、删除%systemroot%system32winssvchost.exe和%systemroot%system32winsdllhost.exe。
 
   （4）、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中删除键：
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcPatch
      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcTftpd
      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRpcTftpd
      HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesRpcPatch
 
   （5）、重新启动系统。