W32.Cycle.A - Allerta 4 - (Sasser Reloaded)

[Giorgius]

Panda Software segnala questo nuovo Virus, clone del clone di Blaster e Sasser...

Aliases:
Cycle.A, Exploit-DcomRpc.gen, W32.Cycle, W32/Cycle.A.worm, W32/Cycle.worm.a, Win32.Cycle.A, WORM_CYCLE.A

Effetti:
W32.Cycle is a worm, which attempts to exploit the Microsoft Windows LSASS Buffer Overrun Vulnerability. Refer to the Microsoft Security Bulletin MS04-011 for additional information.

Info:
http://www.pandasoftware.es/virus_in...&idvirus=47249
http://www.alerta-antivirus.es/virus...55383fcfc67993
http://vil.nai.com/vil/content/v_125092.htm
http://www3.ca.com/threatinfo/virusi....aspx?id=39088
http://www.trendmicro.com/vinfo/viru...e=WORM_CYCLE.A
http://www.sarc.com/avcenter/venc/data/w32.cycle.html


Aggiornamento AntiVirus al 11/05/04 (Y)

[Giorgius]

(ASCA) - Roma, 10 mag - La notizia dell'arresto del presunto
autore di Sasser non e' servita per tranquillizzare il mondo
informatico in merito ai virus. Pandalabs ha riscontrato la
presenza di un nuovo virus chiamato Cycle.A
(W32/Cycle.A.worm) che, come Sasser e le sue varianti,
sfrutta la vulnerabilita' Lsass di alcune versioni di Windows
per diffondersi e infettare i computer attraverso Internet.
Lo scenario e' cambiato, comunque, come si evince dal
messaggio riscontrato all'interno del codice del virus. In
questo testo, l'autore del worm, che si fa chiamare Cyclone,
dice di essere iraniano e fa allusioni alla situazione
politica e sociale del suo paese. Il contenuto intero del
messaggio si puo' leggere sull'Enciclopedia dei virus di
Panda Software. Cycle.A cerca di accedere ai computer
attraverso la porta di comunicazione Tcp45 per verificare se
il sistema e' vulnerabile. In caso positivo, il worm fa si'
che il computer colpito scarichi una copia di se stesso
chiamata CYCLONE.EXE. Comunque, questo accadra' solo se
l'applicazione TFTP.EXE e' installata nel sistema. Inoltre, e
indipendentemente dal fatto che questo worm abbia potuto o no
scaricare una sua copia nel computer, il tentativo del virus
di entrare nel sistema provoca un errore nel programma
LSASS.EXE che obbliga il computer a ravviarsi ogni 60
secondi. Secondo quanto afferma Luis Corrons, direttore di
Pandalabs, ''dovevamo aspettarci che prima o poi qualcun
altro individuo senza scrupoli creasse un nuovo virus che
sfruttasse la vulnerabilita' Lsass. Il vero problema e' che
il codice necessario per sfruttare questa vulnerabilita' e'
in possesso di molte persone che possono incorporarlo nelle
loro creazioni. Quindi e' molto probabile che nuove varianti
di Sasser e di Cycle, cosi' come altri worm che agiscono allo
stesso modo appaiono in futuro''.

Nel frattempo, la famiglia di worm Sasser - alla quale si
e' unita la variante Sasser.E - continua a colpire molti
computer in tutto il mondo. Infatti, Sasser.B continua a
essere uno dei virus piu' frequentemente rilevati da Panda
Activescan, la soluzione antivirus on line e gratuita di
Panda Software. Per evitare che il proprio Pc sia vittima di
Cycle.A, Sasser e le sue varianti, o di qualche altro virus
che sfrutta la vulnerabilita' Lsass, e' necessario installare
la patch di Microsoft disponibile all'indirizzo
http://www.microsoft.com/technet/sec...MS04-011.mspx.
Panda Software raccomanda di utilizzare misure di sicurezza,
di assicurarsi che il proprio software antivirus sia
aggiornato e di tenersi informati sulla divulgazione di ogni
nuovo virus.

[Giorgius]

BitDefender: http://www.bitdefender.com/html/free_tools.php