W32/Cycle

Cycle es un gusano/backdoor residente en memoria, reportado el 11 de Mayo del 2004, que se aprovecha de la vulnerabilidad LSASS de MS Windows, consistente en un desbordamiento del buffer detallado en el boletín MS04-011 de Microsoft, que permite que un intruso obtenga el control del sistema afectado, pudiendo ejecutar comandos y códigos malignos en forma remota. 

Está programado para que el 18 de Mayo ejecute un ataque DoS o Negación de Servicios a dos conocidos portales en Internet (uno de Irán y el otro de la cadena de noticias de la BBC).

Este gusano únicamente infecta a Windows 2000/XP, incluyendo los servidores 2000/Server 2003, está escrito en Assembler con 10 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Una vez activado, se auto-copia al directorio %System% con el nombre de Svchost.exe y se instala como un servicio de Host, generando las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Host Service] 
"Generic Host Service" = "%System%\Svchost.exe" 

[HKEY_CURRENT_USER\System\CurrentControlSet\Services\Host Service] 
"Generic Host Service" = "%System%\Svchost.exe" 

Simultáneamente crea y copia al directorio %Windir% un archivo de nombre cyclone.txt el mismo que contiene un mensaje de política internacional.

Al siguiente re-inicio, el gusano busca por la presencia de los siguientes Mutex para verificar si el sistema ya se encuentra infectado:

• SkynetSasserVersionWithPingFast
• Jobaka3l
• JumpallsNlsTillt
• Jobaka3

Luego a través del puerto TCP 445 rastrea direcciones IP aleatorias vulnerables y en caso de lograr ingresar crea el desbordamiento del buffer en el archivo LSASS.EXE, el mismo que colapsará y será necesario re-iniciar el sistema. El sistema muestra esta caja de diálogo:

El gusano crea un Shell Remoto en el sistema infectado que apunta a puertos variables y al conectarse a otro sistema remoto infectado descarga el archivo TFTP.EXE, que a través del puerto UPD 69 ejecuta un servidor TFTP que descargará una copia del gusano, en formato binario, con el nombre Cyclone.exe. 

Un servidor TFTP tiene la capacidad de enviar y recibir múltiples archivos en forma simultánea.

El gusano abre el puerto TCP 3332 en los sistemas infectadas pero sin ocasionar ningún efecto. Finalmente de encontrarlos en los sistemas, termina los procesos generados por los gusanos Sasser, Msblast, Netsky, etc.:

• msblast.exe
• avserve.exe
• avserve2.exe
• skynetave.exe

La información y parche para esta vulnerabilidad se puede leer y descargar desde este enlace:

Microsoft Security Bulletin MS04-011

Los payloads de este gusano son los siguientes:

• Explota la vulnerabilidad LSASS de MS Windows detallada en el Boletín MS04-011.
• Abre el puerto TCP 445 y rastrea direcciones IP aleatorias de sistemas vulnerables y de encontrarlos produce en ellos un desbordamiento en el archivo LSASS.EXE. 
• A través del puerto UPD 69 ejecuta un servidor TFTP que descarga una copia del gusano, en formato binario, con el nombre Cyclone.exe.  
• Termina los procesos de varios gusanos, entre ellos Sasser, Netsky, Msblast, etc.
• El 18 de Mayo provoca un ataque de Negación de servicios a dos portales, uno en Irán y otro de la cadena de noticias BBS. 

PER ANTIVIRUS® versiones 8.6 con registro de virus al 11 de Mayo del 2004 detecta y elimina  eficientemente este gusano.