Zitat: |
W32/Cycle-A ist ein Netzwerkwurm, der im Internet nach nicht gepatchten Computern sucht, wobei er zufällig erzeugte IP-Adressen verwendet.
Diese Computer sind anfällig füt die LSASS Buffer Overrun Schwachstelle, die einem remoten Angreifer Administratorrechte auf dem lokalen Computer ermöglicht. Nähere Informationen über diese Windows-Schwachstelle finden Sie in folgendem Microsoft Security Bulletin: Microsoft Security Bulletin MS04-011. W32/Cycle-A kopiert sich mit dem Dateinamen SVCHOST.EXE in den Windows-Systemordner und erstellt folgende Schlüssel in der Registrierung: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HOST_SERVICE\ HKLM\SYSTEM\CurrentControlSet\Services\Host Service\ Der zweite Schlüssel enthält den Eintrag: ImagePath = C:\<Windows System\SVCHOST.EXE Dadurch wird der Wurm bei jedem Neustart des Computers aktiviert. W32/Cycle-A läuft dann als TFTP-Server an UDP-Port 69 und sobald auf Zielcomputer zugegriffen wurde, führt er eine remote Shell aus, um eine Kopie von sich von dem TFTP-Server auf den remoten Computer mit dem Dateinamen CYCLONE.EXE herunterzuladen. Dieser Wurm kann dann den folgenden Registrierungseintrag verändern: Generic Host Service = C:\<Windows System>\SVCHOST.EXE Dieser Eintrag kann sich unter folgenden Registrierungsschlüsseln auf dem Zielcomputer befinden: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ W32/Cycle-A versucht außerdem, Prozesse zu beenden, die mit den Würmern W32/Blaster und W32/Sasser im Zusammenhang stehen. Außerdem kann er am 18 .Mai eine Denial-of-Service (DoS)-Attacke gegen folgende Websites starten: www.irna.com www.bbc.com www.isna.com www.bbcnews.com W32/Cycle-A legt die Datei C:\<Windows>\CYCLONE.TXT ab. Dabei handelt es sich um einen Text mit Aussagen über die politische und soziale Situation im Iran. Der Text lautet folgendermaßen: ..... |