Aretaciji domnevnega avtorja črvov Sasser ni sledilo zatišje v napadu virusov, saj je odkrit virus nov spletni črv Cycle.A. Sodeč po besedilu v kodi virusa je avtor z vzdevkom Cyclone iranskega porekla, opozarja pa na družbeni in politični položaj v svoji državi, so sporočili iz podjetja Ribera, slovenskega deželnega partnerja španskega protivirusnega podjetja Panda Software.
"Prej ali slej je bilo pričakovati, da bo še kateri od brezobzirnih uporabnikov ustvaril nov virus, ki bo izkoriščal ranljivost LSASS. Resnični problem je v dejstvu, da ima kodo, potrebno za izkoriščanje te varnostne luknje, več ljudi, ki jo lahko vključijo v svoje kreacije. Zato je zelo verjetno, da se bodo pojavile nove različice črvov Sasser in Cycle, pa tudi drugih zlonamernih kod," pojasnjuje vodja laboratorija PandaLabs Luis Corrons.
Črv vstopa skozi TCP45
Črv Cycle.A poskuša vstopiti v računalnike prek komunikacijskih vrat TCP45, da bi preveril, če je sistem ranljiv. Če je, črv povzroči, da prizadeti računalnik naloži kopijo črva z imenom CYCLONE.EXE. To pa se zgodi le, če je na sistemu nameščena aplikacija TFTP.EXE. Poleg tega in ne glede na to, ali se je črv uspel prekopirati na ciljni računalnik, poskus vstopa virusa povzroči napako v aplikaciji LSASS.EXE, zaradi česar se računalnik ugasne in ponovno zažene vsakih 60 sekund.
Da bi preprečili napade črvov Cycle, Sasser ali drugih, ki izkoriščajo ranljivost LSASS, je potrebno namestiti ustrezen Microsoftov popravek in posodobiti protivirusne programe, še svetujejo v Pandi Software.
