Norišnica – odkrit nov črv Cycle.A

Aretaciji domnevnega avtorja črvov Sasser ni sledilo zatišje v napadu virusov. Odkrit je bil namreč nov črv Cycle.A (W32/Cycle.A.worm), ki tako kot Sasser in njegove različice za širjenje izkorišča ranljivost LSASS, ki prizadene nekatere različice operacijskega sistema Windows.

Scenarij se je spremenil, saj sodeč po besedilu v kodi virusa avtor – alias Cyclone – trdi, da je Iranec in opozarja na družbeno in politično situacijo v svoji državi. Celotna vsebina sporočila je dostopna v virusni enciklopediji Pande Software.

Cycle.A poskuša vstopiti v računalnike preko komunikacijskih vrat TCP45, da bi preveril, če je sistem ranljiv. Če je, črv povzroči, da prizadeti računalnik naloži kopijo črva z imenom CYCLONE.EXE. To se zgodi le, če je na sistemu nameščena aplikacija TFTP.EXE. Poleg tega in ne glede na to, ali se je črv uspel prekopirati na ciljni računalnik, poskus vstopa virusa povzroči napako v aplikaciji LSASS.EXE, zaradi česar se računalnik ugasne in ponovno zažene vsakih 60 sekund. Da bi preprečili napade črvov Cycle, Sasser ali drugih, ki bi izkoriščali ranljivost LSASS, je potrebno namestiti Microsoftov popravek na http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx in posodobiti svoje protivirusne programe. Kdo ve, koliko različic bo še dobil črv Cycle.