Symptome :

Der Wurm läuft nicht auf Windows 95/98/Me.
- Datei cyclone.txt im Windows Ordner;
- Datei svchost.exe im "system" Unterordner des Windows Ordners (unterscheidet sich vom System Unterordner namens "system32" wo eine legitime Datei "svchost.exe" existiert);
- der registry entry HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Generic Host Service

Technische Beschreibung:

Dieser Wurm nutzt eine LSASS Schwäche (wie der Sasser Wurm) aus, die in Microsoft Security Bulletin MS04-011 beschrieben wird. Er versucht andere Würmer (Sasser und Blaster) am Laufen zu hindern.
Sobald er läuft, schafft er eine Textdatei "cyclone.txt" im Windows Ordner, der Die Nachricht des Autors enthält. Er schafft einen TFTP Server auf UDP port 69; jede andere Anwendung, die als Server auf diesem port läuft, wird. Wenn der client sich mit dem Server verbindet und eine Datei anfordert, erhält er eine Kopie des Wurms.
Einige der Subroutinen des Wurms enthalten Anrufe zum AbortSystemShutdown API, um den Neustart zu verhindern, wenn im LSASS ein Fehler auftritt.

[ Zurück zum Anfang ]