| Bezeichnung |
Name |
Typ |
| Cycle |
Win32.Worm.Cycle.A |
Wurm |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
10.05.2004 |
10.05.2004 |
| Größe |
Verbreitung |
Noch unterwegs |
| 10240 bytes |
Mittel |
Unbekannt |
| Andere Namen |
| Win32/Kickin.A@mm / I-Worm.Cydog.c / W32.HLLW.Kickin.A@mm / WORM_CYDOG.C / Win32.HLLM.Cydog |
|
|
 |
Symptome :
|
Der Wurm läuft nicht auf Windows 95/98/Me.
- Datei cyclone.txt im Windows Ordner;
- Datei svchost.exe im "system" Unterordner des Windows Ordners (unterscheidet sich vom System Unterordner namens "system32" wo eine legitime Datei "svchost.exe" existiert);
- der registry entry HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Generic Host Service
|
Technische Beschreibung:
|
Dieser Wurm nutzt eine LSASS Schwäche (wie der Sasser Wurm) aus, die in Microsoft Security Bulletin MS04-011 beschrieben wird. Er versucht andere Würmer (Sasser und Blaster) am Laufen zu hindern.
Sobald er läuft, schafft er eine Textdatei "cyclone.txt" im Windows Ordner, der Die Nachricht des Autors enthält.
Er schafft einen TFTP Server auf UDP port 69; jede andere Anwendung, die als Server auf diesem port läuft, wird. Wenn der client sich mit dem Server verbindet und eine Datei anfordert, erhält er eine Kopie des Wurms.
Einige der Subroutinen des Wurms enthalten Anrufe zum AbortSystemShutdown API, um den Neustart zu verhindern, wenn im LSASS ein Fehler auftritt.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Worm.Cycle.A Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
