W32/Bobax.P@mm

Bobax.P es un gusano residente en memoria, reportado el 03 de Junio del 2005, que se propaga a través de mensajes de correo o es descargado por un troyano de diversos sitios en la web. Explota la vulnerabilidad LSASS de MS Windows, detallada en el boletín MS04-011 de Microsoft, que permite que un intruso obtenga el control del sistema afectado.

Modifica el archivo HOSTS e impide al acceso a sitios web, direccionándolos a una determinada dirección IP.

Es un PE (Portable Ejecutable) que se ejecuta en Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está programado en Visual C++ con 31 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

El gusano tiene su propio servidor SMTP (Simple Mail Transfer Protocol) para lo cual verifica llave de registro: 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts]

y se auto-envía a los buzones de correo extraídos de las Libretas Global de Windows, MS Outlook y del cache de MSN Messenger.

Haciendo uso de la técnica Spoofing disfraza la identidad de los Remitentes o aleatoriamente emplea la dirección del remitente con el dominio @yahoo.com.

Los mensajes tienen las siguientes características:

Asunto: [en_blanco]
Contenido, uno de los siguientes:

• Attached some pics that i found
• Check this out :-)
• Hello,
• I was going through my album, and look what I found..
• Long time! Check this out!
• Osama Bin Laden Captured.
• Remember this?
• Saddam Hussein - Attempted Escape, Shot dead
• Secret!
• Testing

con una de las siguientes cadenas:

• +++ Attachment: No Virus found
• +++ F-Secure AntiVirus - You are protected
• +++ Norman AntiVirus - You are protected
• +++ Norton AntiVirus - You are protected
• +++ Panda AntiVirus - You are protected
• +++ www.f-secure.com
• +++ www.norman.com
• +++ www.pandasoftware.com
• +++ www.symantec.com

Anexado, uno de los siguientes:

• bush.1
• funny.1
• joke.1
• pics.1
• secret.2

Con la extensión .ZIP

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"default" = "%System%\nombre_aleatorio].EXE" 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

El gusano libera en la carpeta temporal de Windows, un componente .DLL con el nombre de ~DF7.TMP el cual es insertado en el EXPLORER.EXE,

El gusano se propaga en redes vulnerables al desbordamiento del buffer LSASS.

El gusano manipula el archivo HOSTS en la ruta %System%\drivers\etc\hosts, para impedir el acceso a a los siguientes sitios web redireccionándolos a la dirección IP  255.255.255.255:

• ar.atwola.com
• atdmt.com
• avp.ch avp.com
• avp.ru awaps.net
• ca.com
• dispatch.mcafee.com
• download.mcafee.com
• download.microsoft.com
• downloads.microsoft.com
• engine.awaps.net
• f-secure.com
• ftp.f-secure.com
• ftp.sophos.com
• go.microsoft.com
• liveupdate.symantec.com
• mast.mcafee.com
• mcafee.com
• msdn.microsoft.com
• my-etrust.com
• nai.com
• networkassociates.com
• office.microsoft.com
• phx.corporate-ir.net
• secure.nai.com
• securityresponse.symantec.com
• service1.symantec.com
• sophos.com
• spd.atdmt.com
• support.microsoft.com
• symantec.com
• update.symantec.com
• updates.symantec.com
• us.mcafee.com
• vil.nai.com
• viruslist.ru
• windowsupdate.microsoft.com
• www.avp.ch
• www.avp.com
• www.avp.ru
• www.awaps.net
• www.ca.com
• www.f-secure.com
• www.kaspersky.ru
• www.mcafee.com
• www.my-etrust.com
• www.nai.com
• www.networkassociates.com
• www.sophos.com
• www.symantec.com
• www.trendmicro.com
• www.viruslist.com
• www.viruslist.ru
• www3.ca.com

La información y parche para la vulnerabilidad LSASS puede ser descargada desde:

PER ANTIVIRUS® versión 9.3 con registro de virus al 03 de Junio del 2005 detecta y elimina eficientemente este gusano.