Bobax.C

BOBAX.C, destructivo gusano/backdoor explota vulnerabilidades LSASS y DCOM RPC de MS Windows.

W32/Bobax.C

Bobax.C es un destructivo gusano/backdoor reportado el 21 de Mayo del 2004, que explota la vulnerabilidad LSASS de MS Windows, consistente en un desbordamiento del buffer detallado en el boletín MS04-011 de Microsoft, que permite que un intruso obtenga el control del sistema afectado, pudiendo ejecutar comandos y códigos malignos en forma remota.

Igualmente vulnera el DCOM RPC que es el Desbordamiento de Buffer del Servicio Localizador, intentado propagarse a través de redes con recursos compartidos, detallado en el boletín MS03-026 de Microsoft.

Abre el puerto TCP 5000 y rastrea direcciones IP aleatorias y de conseguir ingresar, descarga una copia del gusano a través de los puertos TCP y UPD 445 desde un servidor HTTP (puerto 80).

Es un PE (Portable Ejecutable) que se ejecuta en Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, pero infecta únicamente los sistemas de tecnología XP.

Está programado en Visual C++, con una extensión de 22 KB para su archivo .EXE y 18.5 KB para su archivo .DLL, comprimidos con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado a un sistema se auto-copia a la carpeta %System% con archivos de 3 cadenas aleatorias con la extensión .EXE, liberando a su vez uno que contiene una cifra aleatoria y la extensión .DLL en la carpeta temporal de Windows:

[cifra_aleatoria].EXE

El gusano crea el mutex " 06:08:07:[cadena_aleatoria]", para evitar activarse en memoria más de una vez y para ejecutares la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[cadena_aleatoria_1] = "%System%\[cadena_aleatoria_2].EXE"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[cadena_aleatoria_3] = "%System%\[cadena_aleatoria_2].EXE"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente re-inicio el gusano verifica la existencia del mutex " 06:08:07:[cadena_aleatoria]" y de encontrarlo borra sus archivos ejecutables.

Rastrea direcciones IP generadas aleatoriamente para conectarse a través del puerto TCP 5000 y una vez logrado el gusano asume que el sistema infectado está siendo ejecutado en Windows XP.

Luego, actuando como Backdoor envía paquetes SMB (Server Message Block) a los sistemas vulnerables a través de los puertos TCP y UPD 445 y descarga una copia del gusano, con el nombre de SVC.EXE desde un servidor HTTP (puerto 80) el cual se encuentra cifrado dentro del código viral.

Los parches para estas vulnerabilidades pueden ser descargados desde:

Vulnerabilidad DCOM RPC:

http://www.microsoft.com/security/security_bulletins/ms03-026.asp

Vulnerabilidad de LSASS:

http://www.microsoft.com/security/security_bulletins/ms04-011.asp

Los payloads de este gusano/backdoor son los siguientes:

Aprovecha las vulnerabilidad LSASS y DCOM RPC de los sistemas operativos de Microsoft.
Al infectar un sistema crea un Mutex y al ser ejecutado por segunda vez lo borra.
Abre el puerto TCP 5000 para intentar ingresar a direcciones IP generadas aleatoriamente.
De conseguirlo a través del puerto TCP 445 descarga el gusano vía HTTP.
Controla remotamente los archivos y programas de los sistemas infectados.

PER ANTIVIRUS® versiones 8.6 y 8.7 con registro de virus al 21 de Mayo del 2004 detecta y elimina este gusano/backdoor.