Mensaje
por admin » 11 May 2004, 11:52
Si existe, pero añadir, que todo la gente que se ha puesto los parches de microsoft debido al problema del sasser, no tendra ningun problema con este virus, por eso su peligrosidad pasa de alta del sasser al baja.
Descripcion del virus:
Cycle.A crea los siguientes archivos:
SVCHOST.EXE en el directorio de sistema Windows. Este archivo es una copia del gusano.
CYCLONE.TXT en el directorio de Windows. Este archivo contiene un texto reivindicativo sobre la situación en Irán.
Cycle.A crea la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Host Service
ObjectName = %sysdir%\ svchost.exe
donde %sysdir% es el directorio de Windows. Mediante esta entrada, Cycle.A consigue ejecutarse cada vez que se inicia Windows.
Método de Propagación
Cycle.A se propaga a través de Internet, atacando ordenadores remotos. Para ello, realiza el siguiente proceso:
Cycle.A realiza peticiones IMCP a direcciones IP aleatorias.
Si obtine respuesta, intenta aprovechar la vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
Si lo consigue, abre un shell en un puerto variable, con el que Cycle.A envía instrucciones para descargarse a sí mismo mediante el programa TFTP.EXE al ordenador vulnerable. En caso de que esta aplicación no estuviera instalada en el ordenador, el gusano no podrá descargarse al ordenador afectado.
La copia de sí mismo descargada tendrá el nombre CYCLONE.EXE.
Cuando Cycle.A explota la vulnerabilidad LSASS, provoca un desbordamiento de buffer en el programa LSASS.EXE, lo cual desencadena el reinicio del ordenador. Éste se producirá independientemente de que el gusano haya sido descargado al ordenador o no.
Cycle.A sólo se propaga de manera automática a ordenadores con Windows XP/2000. Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Cycle.A convertiría dicho ordenador en un nuevo foco de propagación.
Efectos
Además del conocido efecto de forzar el reinicio de la máquina, este gusano también contiene rutinas para producir un ataque de denegación de servicios contra los siguientes sitios de internet:
http://www.irna.com
http://www.bbcnews.com
Otros Detalles
Cycle.A está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 10240 Bytes, y está comprimido mediante UPX.
Fuente:
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3872&PHPSESSID=140eeca9e9f791dfcac4ec9cee420286
msc hotline sat Virus Research Engineer