W32/Bobax.AB@mm

Bobax.AB es un gusano destructivo residente en memoria, reportado el 01 de Agosto del 2005, que se propaga a través de mensajes de correo con Asuntos, Contenidos y archivos Anexados aleatorios. Explota la vulnerabilidad LSASS de MS Windows, detallada en el boletín MS04-011 de Microsoft, que permite que un intruso obtenga el control del sistema afectado.

Sobre-escribe con su código viral todos los archivos con extensión .EXE del directorio de Windows y la carpeta temporal. Este proceso es repetitivo al no crear ningún Mutex ni archivo de control de infecciones.

Modifica el archivo HOSTS e impide al acceso a sitios web, direccionándolos a una determinada dirección IP.

Es un PE (Portable Ejecutable) que se ejecuta en Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ con 33 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El gusano tiene su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de la carpeta temporal de archivos de Internet o las contenidas en los archivos con cualquiera de las extensiones:

• dbx
• htm
• wab

Haciendo uso de la técnica Spoofing disfraza la identidad de los Remitentes o aleatoriamente emplea el dominio @yahoo.com.

Los mensajes tienen las siguientes características:

Asunto, uno de los siguientes:

• bush
• funny
• joke
• pics
• secret

Contenido: usa en forma aleatoria la combinación de 2 grupos de mensajes.

1er grupo

• Attached some pics that i found
• Check this out :-)
• Hello,
• I was going through my album, and look what I found..
• Long time! Check this out!
• Osama Bin Laden Captured.
• Remember this?
• Saddam Hussein - Attempted Escape, Shot dead
• Secret!
• Testing +

2o grupo

• +++ Attachment: No Virus found
  +++ Panda AntiVirus - You are protected
  +++ www.pandasoftware.com
• +++ Attachment: No Virus found
  +++ Norman AntiVirus - You are protected
  +++ www.norman.com
• +++ Attachment: No Virus found
  +++ F-Secure AntiVirus - You are protected
  +++ www.f-secure.com
• +++ Attachment: No Virus found
  +++ Norton AntiVirus - You are protected
  +++ www.symantec.com

Anexado, uno de los siguientes:

• bush
• funny
• joke
• pics
• secret

Con una de las extensiones:

• exe
• pif
• scr
• zip

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"default" = "%System%\nombre_aleatorio].EXE" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

El gusano se propaga en redes vulnerables al desbordamiento del buffer LSASS.

El gusano manipula el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a los siguientes sitios web redireccionándolos a la dirección IP  255.255.255.255:

• ar.atwola.com
• atdmt.com
• avp.ch avp.com
• avp.ru awaps.net
• ca.com
• dispatch.mcafee.com
• download.mcafee.com
• download.microsoft.com
• downloads.microsoft.com
• engine.awaps.net
• f-secure.com
• ftp.f-secure.com
• ftp.sophos.com
• go.microsoft.com
• liveupdate.symantec.com
• mast.mcafee.com
• mcafee.com
• msdn.microsoft.com
• my-etrust.com
• nai.com
• networkassociates.com
• office.microsoft.com
• phx.corporate-ir.net
• secure.nai.com
• securityresponse.symantec.com
• service1.symantec.com
• sophos.com
• spd.atdmt.com
• support.microsoft.com
• symantec.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• vil.nai.com
• viruslist.ru
• windowsupdate.microsoft.com
• www.avp.ch
• www.avp.com
• www.avp.ru
• www.awaps.net
• www.ca.com
• www.f-secure.com
• www.kaspersky.ru
• www.mcafee.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com
• www.viruslist.ru
• www3.ca.com

La información y parche para la vulnerabilidad LSASS puede ser descargada desde:

PER ANTIVIRUS® versión 9.4 con registro de virus al 01 de Agosto del 2005 detecta y elimina eficientemente este gusano.