病毒以20秒为间隔，检测网络状态。当网络可用时。

该病毒自己建立一个tftp服务器。并用启动一个攻击传播线程。不断的随机
生成攻击地址，尝试利用DCOM RPC漏洞进行传播（端口：135）当被攻击系统存在漏洞时，将执行病毒的shell代码。利用tftp从攻击方这下载病毒复本到%system% 目录并执行。

病毒本内有一段文本信息：
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ?
Stop making money and fix your software!!

2.Worm.Blaster
破坏方法：一个利用DCOM RPC漏洞进行传播的蠕虫.
该病毒运行后.建立一个名为“BILLY”的互斥量.将自己复制到window目录下。

文件名为：msblast.exe并在注册表加入自己的键值。

病毒以20秒为间隔，检测网络状态。当网络可用时。
该病毒自己建立一个tftp服务器。并用启动一个攻击传播线程。不断的随机生成攻击地址，尝试利用DCOM RPC漏洞进行传播（端口：135）当被攻击系统存在漏洞时，将执行病毒的shell代码。利用tftp从攻击方这下载病毒复本到%system% 目录并执行。

病毒本内有一段文本信息：
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ?
Stop making money and fix your software!!

3.Worm.Blaster.enc
破坏方法：一个利用DCOM RPC漏洞进行传播的蠕虫.
该病毒运行后.建立一个名为“BILLY”的互斥量.将自己复制到window目录下。
文件名为：msblast.exe并在注册表加入自己的键值。
病毒以20秒为间隔，检测网络状态。当网络可用时。
该病毒自己建立一个tftp服务器。并用启动一个攻击传播线程。不断的随机生成攻击地址，尝试利用DCOM RPC漏洞进行传播（端口：135）当被攻击系统存在漏洞时，将执行病毒的shell代码。利用tftp从攻击方这下载病毒复本到%system% 目录并执行。

病毒本内有一段文本信息：
I just want to say LOVE YOU SAN!!billy gates why do you make this possible ?
Stop making money and fix your software!!

4.Trojan.SdBot.05b.Pak
破坏方法：这是一个LCC编写的木马，经过工具压缩，打开并监听TCP端口

启动方式：
病毒从注册表启动，相应的注册表键值如下：
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Configuration Loader %CURFILE%

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Configuration Loader%CURFILE%

5.Exploit.DCom.b
破坏方法：探测RPC漏洞的工具

6.Exploit.DCom.c
破坏方法：探测RPC漏洞的工具

脚本病毒(3)

7.Worm.RPC.Zerg
破坏方法：这是一个利用RPC漏洞进行传播的蠕虫，病毒首先使用RPC漏洞的探测工具探测存在漏洞的机器，IP地址是从病毒包中的几个文本文件中随机选取，病毒修改注册表启动键值如下：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\load“%CURBASE%\%CURFILE%”

同时注册一个VBE文件，键值为：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows\Programs “com exe bat pif cmd vbe”
<而系统默认的可执行文件为：com exe bat pif cmd>

RPC漏洞：
漏洞主要发生在RPC服务为DCOM服务提供__RemoteGetClassObject接口上，当传送一个特定包导致解析一个结构的指针参数为NULL的时候， __RemotoGetClassObject 未对此结构指针参数有有效性检查，在后续中就直接引用了此地址（此时为0）做读写操作，这样就导致了内存访
问违例，RPC服务进程崩溃。