Bobax.AE

BOBAX.AE, gusano de vulnerabilidades DCOM y LSASS deshabilita firewall, bloquea acceso a sitios web, etc.

W32/Bobax.AE@mm

Bobax.AE es un gusano destructivo residente en memoria, reportado el 01 de Septiembre del 2005, que se propaga a través de mensajes de correo, vulnerabilidades del sistema operativo y de redes con recursos compartidos configuradas con contraseñas débiles.

Explota las vulnerabilidades DCOM RPC y LSASS de MS Windows, detalladas en los boletines MS03-026 modificado por MS03-039 y el MS04-011.

Ambas vulnerabilidades permiten que los intrusos ejecuten códigos arbitrarios y malignos en forma remota en los sistemas afectados.

Deshabilita además el Firewall y el Acceso Compartido a Internet.

Modifica el archivo HOSTS e impide al acceso a sitios web, direccionándolos a una determinada dirección IP.

Es un PE (Portable Ejecutable) que se ejecuta en Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ con 40 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

El gusano tiene su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de la Libreta de Direcciones de Windows, de MS Outlook o de los Contactos de .NET Messenger.

Los mensajes tienen las siguientes características:

Asunto, uno de los siguientes:

bush
funny
joke
pics
secret

Contenido: usa en forma aleatoria la combinación de una de las cadenas:

Attached some pics that i found
Check this out :-)
Hello,
I was going through my album, and look what I found..
Long time! Check this out!
Osama Bin Laden Captured.
Remember this?
Saddam Hussein - Attempted Escape, Shot dead
Secret!
Testing

seguidas aleatoriamente de:

+++ Attachment: No Virus found
+++ Panda AntiVirus - You are protected
+++ www.pandasoftware.com
+++ Attachment: No Virus found
+++ Norman AntiVirus - You are protected
+++ www.norman.com
+++ Attachment: No Virus found
+++ F-Secure AntiVirus - You are protected
+++ www.f-secure.com
+++ Attachment: No Virus found
+++ Norton AntiVirus - You are protected
+++ www.symantec.com

Anexado, uno de los siguientes:

bush.1
funny.1
joke.1
pics.1
secret.2

Con una de las extensiones:

Al ingresar a un sistema se ejecuta en memoria y se copia a la carpeta %System% con un nombre aleatorio con extensión .EXE y libera una copia de sí mismo a esa carpeta con el nombre Wsa*[números_aleatorios].tmp la cual inserta al proceso del Explorer.exe.

para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"[valor_aleatorio]" = "%System%\[nombre_del_archivo].exe"

Para deshabilitar el Firewall y el Acceso Compartido a Internet, en los sistemas operativos basados en tecnología NT modifica el valor del registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
"Start" = "dword:00000004"

Su verdadero valor configurado por defecto es "00000002"

Al siguiente inicio del equipo, activa su rutina de envío masivo de mensajes de correo, rastrea a través de los puertos que se encuentren abiertos y disponibles los sistemas vulnerables de redes con recursos compartidos, configuradas con contraseñas débiles.

De lograr ingresar libera una copia de sí mismo en la modalidad arriba descrita.

Modifica el archivo HOSTS e impide al acceso a sitios web, direccionándolos a una determinada dirección IP en forma infinita (loop) consumiendo los recursos de memoria de los sistemas afectados:

ar.atwola.com
atdmt.com avp.ch
avp.com
avp.ru
awaps.net
ca.com dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com

La información y parches para las vulnerabilidades mencionadas pueden ser descargadas desde:

PER ANTIVIRUS® versión 9.4 con registro de virus al 01 de Septiembre del 2005 detecta y elimina este gusano.