CCERT 关于Window RPC系列漏洞的安全公告
 
7月16日波兰的一个安全组织LSD公布了一个Windows操作系统的一个安全漏洞，这个漏洞号称迄今为止Window系统中发现的最严重的一个系统漏洞，随后各安全组织对该漏洞展开了相关的研究，在研究的过程中国内的安全组织又发现了与之相关的两个同类型的漏洞，并上报了微软，但是目前厂商还没有提供相关的补丁程序。因此到目前为止针对Window RPC系列实际上存在三个类似的漏洞，它们分别是：
 
1、Microsoft RPC接口远程任意代码可执行漏洞
 
漏洞描述：
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。
 
最近发现部分RPC在使用TCP/IP协议处理信息交换时不正确的处理畸形的消息导致存在一个安全漏洞。该漏洞影响使用RPC的DCOM接口，这个接口用来处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。如果攻击者成功利用了该漏洞将获得本地系统权限，他将可以在系统上运行任意命令，如安装程序、查看或更改、删除数据或者是建立系统管理员权限的帐户等。
 
要利用这个漏洞，攻击者需要发送特殊形式的请求到远程机器上的135端口.
 
2、Microsoft DCOM RPC接口拒绝服务及权限提升漏洞
漏洞描述：
Remote Procedure Call(RPC)是Windows操作系统使用的一种远程过程调用协议,RPC协议提供一种进程间的交互通信机制，它允许本地机器上的程序进程无缝的在远程系统中运行代码。该协议的前身是OSF RPC协议，但是增加了微软自己的一些扩展。
 
最近发现MS RPC在处理畸形消息时存在问题，远程攻击者可以利用这个漏洞进行拒绝服务攻击，在RPC服务崩溃后，可用来权限提升攻击。攻击者发送畸形消息给DCOM __RemoteGetClassObject接口，RCP服务就会崩溃，所有依靠RPC服务的应用程序和服务就会变的不正常。
 
如果攻击者拥有合法帐户，在RPC服务崩溃后他还可以劫持管道和135端口进行权限提升攻击。
 
3、Window RPC接口未知漏洞
漏洞描述：
由于该漏洞影响面太大而厂商又未推出相应的补丁程序，因此目前并未公布该漏洞的详细技术细节，但是发现该漏洞的组织中联绿盟信息技术(北京)有限公司在报告中有提到如下警告：该漏洞可以使入侵者轻而易举的进入Windows 2000、Windows XP、Windows2003 Server系统。攻击者可以通过该漏洞取得系统的控制权，完全控制被入侵的系统，窃取文件，破坏资料。因为该漏洞和以往发现的安全漏洞不同，不仅影响作为服务器的Windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常多。
 
 
漏洞危害：
7月23号网络上发布了DCOM RPC接口拒绝服务攻击的程序代码，7月26日window RPC接口远程缓冲溢出的攻击程序代码被公布，这样就导致即便是一个对该漏洞技术细节毫不了解的人也能使用这些代码去攻击网络上的其他机器以达到拒绝服务攻击的目的或是获得相应的系统权限。目前公布的代码是对系统版本有针对性的，但是通用于各系统版本中的攻击代码正在测试中，相信在稍后的几天内便会被公布出来，一旦这种攻击代码被公布出来，只需要很小的技术上的改造就可以改编成蠕虫，如果利用这个漏洞蠕虫被发布出来，它的威力将远远超过codered和slammer，可能会给整个互联网络带来致命的打击。
 
 
被蠕虫攻击后的情况：
 
 
(看图)
 
 
解决办法，到微软的主页去下载个补丁就好了，注意，你是什么操作系统就下载相对应的。如果想知道病毒的名称和详细资料可以去金山毒霸的网页去看看，里面有个专门的查杀工具。