Na Internetové scéně se objevil po boku červa Sasser nový kousek, který také zneužívá bezpečnostní chybu LSASS popsanou v Microsoft Security Bulletinu MS04-011.
Červ se ukrývá na disku ve dvou souborech o délce 10.240 bajtů. V adresáři WINDOWS je to soubor cyclone.txt a ve WINDOWS\SYSTEM soubor svchost.exe.
Červ Cycle po svém spuštění ukončuje několik "konkurenčních" procesů některých předchozích červů (Blaster, Sasser,…).
Mezi ty nebezpečnější vlastnosti patří na 18. května plánovaný DoS útok na adresy www.irna.com a www.bbcnews.com.
Červ používá novou techniku pro otestování, zda vzdálený počítač je již napaden. Červ naslouchá na TCP portu 3332, příjme příchozí připojení na tomto portu a následně ho uzavře. To informuje útočníka, že daný počítač již svého červa našel.
Způsob šíření je podobný jako u červa Sasser. Červ spustí TFTP server na UDP portu 69, který obsahuje kopii červa. Pomocí pokusů o spojení na port 445 náhodně generovaných IP adres se pokouší zneužít bezpečnostní chybu v LSASS. Pokud se mu záměr zdaří, dojde z napadeného počítače ke zpětnému připojení na FTP server, stažení těla červa a jeho aktivaci. Jméno stahovaného souboru je cyclone.exe.
Prevencí před napadením červem toho typu je kvalitní firewall a instalace bezpečnostní záplaty MS04-011 - podrobnosti naleznete zde.
Zdroj: Symantec
