Archivado en Digital
PandaLabs detectó la aparición del nuevo gusano Cycle.A que,al igual que Sasser,hace uso de la vulnerabilidad LSASS de Windows para propagarse rápidam
Sasser tiene imitadores: Cycle.A
La detención del presunto autor de los gusanos Sasser no trajo mayor tranquilidad en lo que a virus informáticos se refiere. PandaLabs detectó la aparición de un nuevo gusano denominado Cycle.A (W32/Cycle.A.worm) que -al igual que Sasser y sus variantes- hace uso de la vulnerabilidad LSASS de algunas versiones de Windows para propagarse e infectar los equipos directamente a través de Internet.
Sasser tiene imitadores: Cycle.A
A pesar de la detención del supuesto autor Sasser, PandaLabs detectó la aparición del nuevo gusano Cycle.A que, al igual que Sasser y sus variantes, hace uso de la vulnerabilidad LSASS de Windows para propagarse rápidamente.
La detención del presunto autor de los gusanos Sasser no trajo mayor tranquilidad en lo que a virus informáticos se refiere. PandaLabs detectó la aparición de un nuevo gusano denominado Cycle.A (W32/Cycle.A.worm) que -al igual que Sasser y sus variantes- hace uso de la vulnerabilidad LSASS de algunas versiones de Windows para propagarse e infectar los equipos directamente a través de Internet.
El escenario ha cambiado,
según se deduce del texto encontrado dentro de su código, en el
que su autor -que se hace llamar Cyclone- dice ser iraní y hace alusión
a la situación política y social de su país. Para llevar a cabo
sus acciones, Cycle.A intenta acceder a los computadores a través del
puerto de comunicaciones TCP 445 para comprobar si son vulnerables. En caso
positivo, hará que el propio equipo afectado descargue una copia del
gusano con el nombre CYCLONE.EXE. Sin embargo, esto solamente podrá llevarse
a cabo si se encuentra instalada en el sistema la aplicación TFTP.EXE.
Además de
esto, el intento de entrada del virus provoca un fallo en la aplicación
LSASS.EXE que se traduce en un error del sistema que obliga al computador a
reiniciarse cada 60 segundos. Según Luis
Valenzuela, gerente general de Panda Software - Chile: Era de esperarse
que algún otro pirata informático crease un nuevo virus que aprovechase
la vulnerabilidad LSASS. El verdadero problema es que el código necesario
para aprovechar dicho agujero de seguridad está en manos de muchas personas
distintas que pueden incorporarlo a sus creaciones. Por ello, es muy probable
que aparezcan no ya solamente nuevas variantes de Sasser y de Cycle, sino otros
códigos maliciosos que actúen de la misma manera que ellos.
Por su parte, la
familia de gusanos Sasser -a la que ayer se unió la variante E- sigue
provocando incidencias entre los equipos de usuarios de todo el mundo. Así,
Sasser.B todavía es uno de los virus más frecuentemente detectados
por Panda ActiveScan. Para evitar que un
equipo sea víctima de Cycle.A, Sasser y sus variantes, es necesario instalar
el parche que Microsoft ha publicado para corregirla, y puede descargarlo desde Luego, crea una interfaz
de comandos remota en el sistema vulnerable, y se conecta a través de
FTP al equipo previamente infectado para descargar el archivo que contiene el
virus. Una vez que ingresa
en una computadora, se copia a si mismo en el directorio de sistema de Windows
(normalmente, C:WINNTSYSTEM32) bajo el nombre SVCHOST.EXE. Además, se
agrega como un servicio, de nombre Host Service, para ejecutarse con el arranque
mismo del sistema, agregando la siguiente entrada al registro: HKLMSystemCurrentControlSetServices Este servicio ejecutará
el archivo antes creado por el gusano, y lo hará en forma automática. El gusano produce
que el servicio LSASS.EXE cese de funcionar, y provoca el reinicio obligado
del sistema. Esto hace que el usuario del sistema no pueda utilizar el sistema
normalmente. También contiene
rutinas para producir un ataque de denegación de servicios contra los
siguientes sitios de internet: www.irna.com Además, crea
un archivo CYCLONE.TXT en el directorio de Windows (normalmente, C:WINNT),
con un mensaje político sobre la situación en Irán. Por último,
el gusano intenta detener cualquier proceso asociado a varias versiones de los
gusanos Sasser y Netsky. http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx Para eliminar el
gusano, acceda a Servicios, dentro de las Herramientas Administrativas del sistema,
y detenga el servicio Host Service. Luego, ejecute un
antivirus actualizado y elimine todo lo detectado como infectado por este gusano. En Windows XP, los
Servicios pueden ser accedidos desde Inicio, Ejecutar..., ejecutando la aplicación
msconfig, y yendo luego a la ficha Servicios.
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.
CARACTERÍSTICAS
Este gusano aprovecha la misma vulnerabilidad que las versiones del Sasser.
Lo que hace es buscar equipos que tengan abierto el puerto TCP 445, y si encuentra
alguna, intenta desbordar un buffer en el servicio LSASS.EXE.
Host Service
www.bbcnews.com
INSTRUCCIONES PARA ELIMINARLO
Es importante que los usuarios instalen el parche que Microsoft preparó
para corregir la vulnerabilidad aprovechada por el gusano, el cual puede descargarse
desde la siguiente dirección: