Червь, получивший название Cycle, использует ту же самую уязвимость в локальной подсистеме аутентификации (LSASS), что и печально известный вирус Sasser, автора которого на днях задержала германская полиция. Червь Cycle пытается проникнуть на компьютер через порт 445 посредством приложения TFTP.EXE. Причем, если данный пакет не установлен на уязвимой машине, то процесс установки прерывается. Тем не менее, даже в этом случае вредоносная программа способна спровоцировать перезагрузку компьютера.

Вирус Cycle написан на языке С++ и упакован UPX, его размер в сжатом виде равен 10240 байтам. После удачного проникновения на ПК Cycle модифицирует реестр, обеспечивая свой автоматический запуск при загрузке ОС, удаляет записи, сделанные вирусами Blaster и Sasser, а также выводит на дисплей сообщение об ошибке. Кроме того, если системная дата не лежит в промежутке между 1 и 18 мая, червь старается организовать DoS-атаки на сайты www.irna.com (Islamic Republic News Agency) и www.bbc.com (British Broadcasting Corporation). Наконец, в коде вируса присутствует текст с описанием социальной и политической ситуации в Иране. Таким образом, можно предположить, что Cycle имеет иранское происхождение.

Защититься от атак со стороны Sasser и Cycle можно путем установки соответствующего патча, выпущенного корпорацией Microsoft.

Поделиться
Комментарии