|
W32/Bobax.AJ@mm
|
Bobax.AJ es un gusano residente en memoria, reportado el 08 de Septiembre del 2005, que se propaga a través de mensajes de correo, explotando la
vulnerabilidad del desbordamiento del buffer del Plug and Play detallada en el boletín MS05-039,
usando el puerto TCP 445.
El gusano configura al sistema infectado para ser usado como un Proxy encubierto. |
Esta vulnerabilidad permite a los intrusos ejecutar códigos arbitrarios y malignos en forma remota en los sistemas afectados y usar todos los privilegios.
Deshabilita además el Firewall y el Acceso Compartido a Internet. Revisa las unidades de disco e infecta los archivo .EXE a los cuales agrega la extensión .tmp, dejándolos inoperativos.
Modifica el archivo HOSTS e impide al acceso a sitios web relacionados a sistemas de seguridad.
Es un PE (Portable Ejecutable) que se ejecuta en Windows 98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
El gusano tiene su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de la Libreta de Direcciones de Windows, de MS Outlook o de los Contactos del .NET Messenger, así como de los archivos con las extensiones:
Evita enviarse a las direciones que tengan las cadenas:
Los mensajes tienen las siguientes características:
Asunto, uno de los siguientes:
Contenido, usa en forma aleatoria la combinación de una de las cadenas:
seguidas aleatoriamente de:
Anexado, uno de los siguientes:
Con una de las extensiones:
Al ingresar a un sistema se ejecuta en memoria y se copia a la carpeta %System% con un nombre aleatorio con extensión .EXE y crea el archivo %Temp%\Was*.tmp el cual inserta a los procesos con las cadenas:
entre los cuales se incluyen los del sistema Windows:
para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"[valor_aleatorio]" = "%System%\[nombre_del_archivo].exe"
Para deshabilitar el Acceso Compartido en Windows 200/XP modifica el valor del registro:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess]
"Start" = "dword:00000004"
Al siguiente inicio del equipo activa su rutina de envío masivo de mensajes de correo, enviándose además a través de uno de los siguientes servidores SMTP:
intenta descargar a la ruta de directorio %Windir%\[nombre_aleatorio].tmp los siguientes archivos:
indistntamente de los URL HTTP o servidores FTP:
Actualmente los archivos han sido retirados de esas servidores.
Lego rastrea a través de direcciones IP generadas en forma aleatoria por sistemas vulnerables al desbordamiento del buffer del Plug and Play.
De lograr ingresar libera una copia de sí mismo en la modalidad arriba descrita.
Para deshabilitar la seguridad del sistema, incluyendo el Firewall modifica los valores:
en la sub-llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
Intenta usar el sistema infectado como un Proxy encubierto, e infecta los archivos relacionadoa a la sub-llave:
HKEY_LOCAL_MACHINE\Sofware\Microsoft\Windows\CurrentVersion\Run subkey
se conecta a uno de los siguientes dominios, a través de un servidor web remoto cifrado y les envía una dirección IP excludiva e información sobre los sistemas infectados:
posteriormente rastrea todas las unidades de disco del sistema e infecta los archivo .EXE a los cuales agrega la extensión .tmp, dejándolos inoperativos.
Ejemplo: [nombre-de_archivo].exe.tmp
Termina este proceso borrando los archivos *.tmp de la carpeta %Temp%.
Modifica el archivo HOSTS e impide al acceso a sitios web, direccionándolos a una determinada dirección IP en forma infinita (loop) consumiendo los recursos de memoria de los sistemas afectados:
La información y parche para la vulnerabilidad Plug adn Play puede ser descargada desde:
PER ANTIVIRUS® versión 9.4 con registro de virus al 08 de Septiembre del 2005 detecta y elimina este gusano.
