Cycle.A es otro gusano con las mísmas características que el Sasser

por Carlos 10/05/2004 ...

Como bien se suponía desde PandaLabs y otros centros informados sobre el Sasser, ha aparecido un nuevo gusano que se aprovecha de la vulnerabilidad ya conocida por todos, la del LSASS. Por lo tanto la forma de infección y, sobretodo, la solución, es la misma, por lo que en lugar de volver a repetir una vez más lo que ya conocemos, nos centraremos en las diferencias, sin olvidar que podemos encontrar todo lo relacionado con este gusano en el reciente artículo sobre el Sasser Clíc aquí.

Cycle.A es el nombre que ha recibido el gusano, y esto es así porque el creador se ha identificado como cyclone. También hace referencia a su nacionalidad, iraní, y sobretodo, parece ser que su gusano es una revindicación contra la guerra de Iraq, pues expone la situación actual en dicho país, lo cual no es de ningún modo un motivo real para haber creado el gusano.

Este nuevo gusano difiere en el Sasser en varios aspectos, el archivo descargado de otros ordenadores y que contiene el Cycle.A ya no se llama *_up.exe, si no cyclone.exe, y aunque son homólogos pasa del System32 al mismo directorio de Windows, donde también se creará el gusano que se ejecutará en nuestro sistema, con el nombre svchost.exe. Para poder descargar el archivo necesita obligatoriamente el archivo TFTP.exe, que será el encargado de realizar la transferencia.

Tampoco crea ningun fichero .log, como win.log o win2.log, pero si un txt, más concretamente el cyclone.txt. Aquí es precisamente donde podemos encontrar el texto en relación a la situación de Iraq. Este mismo archivo ya es conocido, pues en el Cone.A también aparece exactamente igual.

El registro de sistema es modificado en consecuencia, dando lugar a una entrada tal que la siguiente:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Host Service

ObjectName = windows\svchost.exe

A muchos les sonará el proceso svchost.exe, pues es propio de Windows, y se encarga de las tareas de red, por lo que cabe preguntarse si no dejará de funcionar algo al cambiar el svchost.exe de Windows por un gusano. La respuesta es no, pues realmente no hemos sustituido nada, si investigamos, en un ordenador no infectado corre svchost, al realizar una búsqueda, localizamos el fichero ejecutado en la carpeta C:\windows\system32. Deducimos por lo tanto que al copiarse el gusano en C:\windows no modifica en modo alguno el svchost original.

Por lo tanto, este gusano aprovecha un proceso de Windows conocido por la mayoría para pasar inadvertido. De este modo, al igual que ocurría con Sasser, hemos de parar el proceso para poder eliminarlo, aunque con una complicación añadida, no sabremos cual de los procesos es el gusano y cual no.

Además, por si esto fuese poco, no solo los procesos svchost de windows son renovados conforme los eliminamos, si no que uno de ellos conllevará el reinicio de nuestro sistema en 60.

Así pues hemos de estar atentos por si en lugar de acertar a la primera con el gusano acertamos con el que no debemos. En ese caso escribiremos en ejecutar el ya conocido shutdown -a, y continuaremos probando. Cada vez que terminemos un proceso y no veamos que vuelve a añadirse podemos intentar la eliminación del archivo.

De esta forma, si hemos leido el artículo sobre el Sasser, y entendido los párrafos previos, no tendremos ningún problema con este Cycle.A.

Finalmente, y para terminar ya, el gusano tiene un peso de 10.240 bytes, está programado en Visual C++ y comprimido en UPX.

Parches necesarios a instalar:

-Windows XP: Clíc aquí.

-Windows NT Workstation: Clíc aquí.

-Windows NT Server 4.0: Clíc aquí.

-Windows NT Terminal Server Edition: Clíc aquí.

-Windows 2000: Clíc aquí.

-Windows XP 64-bits: Clíc aquí.

-Windows XP 64-bits versión 2003: Clíc aquí.

-Windows 2003: Clíc aquí.

-Windows 2003 64-bits: Clíc aquí.


Tags: Redes