Archivado en Internet

PandaLabs detect贸 la aparici贸n del nuevo gusano Cycle.A que,al igual que Sasser,hace uso de la vulnerabilidad LSASS de Windows para propagarse r谩pidam

Sasser tiene imitadores: Cycle.A


La detenci贸n del presunto autor de los gusanos Sasser no trajo mayor tranquilidad en lo que a virus inform谩ticos se refiere. PandaLabs detect贸 la aparici贸n de un nuevo gusano denominado Cycle.A (W32/Cycle.A.worm) que -al igual que Sasser y sus variantes- hace uso de la vulnerabilidad LSASS de algunas versiones de Windows para propagarse e infectar los equipos directamente a trav茅s de Internet.


pdf
print
pmail

Sasser tiene imitadores: Cycle.A

A pesar de la detenci贸n del supuesto autor Sasser, PandaLabs detect贸 la aparici贸n del nuevo gusano Cycle.A que, al igual que Sasser y sus variantes, hace uso de la vulnerabilidad LSASS de Windows para propagarse r谩pidamente.

La detenci贸n del presunto autor de los gusanos Sasser no trajo mayor tranquilidad en lo que a virus inform谩ticos se refiere. PandaLabs detect贸 la aparici贸n de un nuevo gusano denominado Cycle.A (W32/Cycle.A.worm) que -al igual que Sasser y sus variantes- hace uso de la vulnerabilidad LSASS de algunas versiones de Windows para propagarse e infectar los equipos directamente a trav茅s de Internet.

El escenario ha cambiado, seg煤n se deduce del texto encontrado dentro de su c贸digo, en el que su autor -que se hace llamar Cyclone- dice ser iran铆 y hace alusi贸n a la situaci贸n pol铆tica y social de su pa铆s.

Para llevar a cabo sus acciones, Cycle.A intenta acceder a los computadores a trav茅s del puerto de comunicaciones TCP 445 para comprobar si son vulnerables. En caso positivo, har谩 que el propio equipo afectado descargue una copia del gusano con el nombre CYCLONE.EXE. Sin embargo, esto solamente podr谩 llevarse a cabo si se encuentra instalada en el sistema la aplicaci贸n TFTP.EXE.

Adem谩s de esto, el intento de entrada del virus provoca un fallo en la aplicaci贸n LSASS.EXE que se traduce en un error del sistema que obliga al computador a reiniciarse cada 60 segundos.

Seg煤n Luis Valenzuela, gerente general de Panda Software - Chile: 聯Era de esperarse que alg煤n otro pirata inform谩tico crease un nuevo virus que aprovechase la vulnerabilidad LSASS. El verdadero problema es que el c贸digo necesario para aprovechar dicho agujero de seguridad est谩 en manos de muchas personas distintas que pueden incorporarlo a sus creaciones. Por ello, es muy probable que aparezcan no ya solamente nuevas variantes de Sasser y de Cycle, sino otros c贸digos maliciosos que act煤en de la misma manera que ellos聰.

Por su parte, la familia de gusanos Sasser -a la que ayer se uni贸 la variante E- sigue provocando incidencias entre los equipos de usuarios de todo el mundo. As铆, Sasser.B todav铆a es uno de los virus m谩s frecuentemente detectados por Panda ActiveScan.

Para evitar que un equipo sea v铆ctima de Cycle.A, Sasser y sus variantes, es necesario instalar el parche que Microsoft ha publicado para corregirla, y puede descargarlo desde


http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.


CARACTER脥STICAS


Este gusano aprovecha la misma vulnerabilidad que las versiones del Sasser. Lo que hace es buscar equipos que tengan abierto el puerto TCP 445, y si encuentra alguna, intenta desbordar un buffer en el servicio LSASS.EXE.

Luego, crea una interfaz de comandos remota en el sistema vulnerable, y se conecta a trav茅s de FTP al equipo previamente infectado para descargar el archivo que contiene el virus.

Una vez que ingresa en una computadora, se copia a si mismo en el directorio de sistema de Windows (normalmente, C:WINNTSYSTEM32) bajo el nombre SVCHOST.EXE.

Adem谩s, se agrega como un servicio, de nombre Host Service, para ejecutarse con el arranque mismo del sistema, agregando la siguiente entrada al registro:

HKLMSystemCurrentControlSetServices
Host Service

Este servicio ejecutar谩 el archivo antes creado por el gusano, y lo har谩 en forma autom谩tica.

El gusano produce que el servicio LSASS.EXE cese de funcionar, y provoca el reinicio obligado del sistema. Esto hace que el usuario del sistema no pueda utilizar el sistema normalmente.

Tambi茅n contiene rutinas para producir un ataque de denegaci贸n de servicios contra los siguientes sitios de internet:

www.irna.com
www.bbcnews.com

Adem谩s, crea un archivo CYCLONE.TXT en el directorio de Windows (normalmente, C:WINNT), con un mensaje pol铆tico sobre la situaci贸n en Ir谩n.

Por 煤ltimo, el gusano intenta detener cualquier proceso asociado a varias versiones de los gusanos Sasser y Netsky.

INSTRUCCIONES PARA ELIMINARLO


Es importante que los usuarios instalen el parche que Microsoft prepar贸 para corregir la vulnerabilidad aprovechada por el gusano, el cual puede descargarse desde la siguiente direcci贸n:

http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Para eliminar el gusano, acceda a Servicios, dentro de las Herramientas Administrativas del sistema, y detenga el servicio Host Service.

Luego, ejecute un antivirus actualizado y elimine todo lo detectado como infectado por este gusano.

En Windows XP, los Servicios pueden ser accedidos desde Inicio, Ejecutar..., ejecutando la aplicaci贸n msconfig, y yendo luego a la ficha Servicios.