Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Bobax.A realiza las siguientes acciones:
- Abre varios puertos aleatorios, a través de los cuales un usuario remoto puede utilizar el ordenador afectado como servidor de correo SMTP, con objeto de enviar mensajes de correo electrónico no solicitados (spam).
- Provoca el reinicio de los ordenadores con Windows XP/2000 cuando intenta afectarlos, aprovechando la vulnerabilidad LSASS. Cuando se realiza esta acción, Bobax.A muestra el siguiente mensaje en pantalla:
- Permite a un usuario remoto enviar los siguientes comandos de control para realizar distintas acciones:
- exe: descargar y ejecutar archivos.
- scn: escanear direcciones IP e intentar afectarlas mediante la vulnerabilidad LSASS.
- scs: parar el escaneo.
- prj: enviar spam. - Intenta realizar conexiones a los siguientes sitios web:
chilly.no-ip.info
kwill.hopto.org
cheese.dns4biz.org
butter.dns4biz.org
Metodo de Infección
Bobax.A crea los siguientes archivos:
- Un archivo con un nombre compuesto de ocho caracteres aleatorios y extensión DLL, en el directorio temporal de Windows. Este archivo es una DLL (Librería de Enlace Dinámico) comprimida mediante UPX v1.23, y que provee las funcionalidades del gusano. Es inyectada en el proceso de Windows explorer.exe, lo que puede provocar que éste falle inesperadamente.
- SVC.EXE en el directorio de sistema de Windows. Este archivo es un dropper, que se encarga de soltar la DLL anterior, y se encuentra encriptado.
Bobax.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
%entrada% = %sysdir%\ %nombre%.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices
%entrada% = %sysdir%\ %nombre%.exe
donde %entrada% es el nombre de la entrada, compuesto por ocho caracteres aleatorios, %sysdir% es el directorio de sistema de Windows y %nombre% es el nombre aleatorio del archivo del gusano.
Mediante estas entradas, Bobax.A consigue ejecutarse cada vez que se inicia Windows.
En caso de que estas entradas existiesen previamente, Bobax.A sobrescribe las referencias a ficheros existentes y las sustituye por referencias a su propio fichero.
Método de Propagación
Bobax.A se propaga a través de Internet, atacando ordenadores remotos con sistema operativo Windows XP/2000. Para ello, realiza el siguiente proceso:
Bobax.A genera
direcciones IP aleatorias e intenta acceder a las mismas.
Si lo consigue, comprueba si el ordenador remoto presenta la
vulnerabilidad LSASS. Esta vulnerabilidad es crítica en los sistemas operativos Windows XP/2000 que no han sido convenientemente actualizados.
En caso afirmativo, envía instrucciones a través del puerto 445, para que el ordenador descargue una copia del gusano mediante un servidor HTTP.
La copia de sí mismo descargada es ejecutada, con lo que el ordenador quedará afectado.
Cuando Bobax.A explota la vulnerabilidad LSASS, provoca un desbordamiento de buffer en el programa LSASS.EXE, lo cual desencadena el reinicio del ordenador.
Bobax.A sólo afecta y se propaga de manera automática a ordenadores con Windows XP/2000 y que tengan el puerto 5000 abierto (por defecto, abierto en Windows XP y cerrado en Windows 2000). Sin embargo, también funciona en el resto de sistemas operativos Windows, si el archivo correspondiente al gusano es ejecutado de alguna forma por un usuario malicioso. En este último caso, Bobax.A convertiría dicho ordenador en un nuevo foco de propagación.
Otros Detalles
Bobax.A está escrito en lenguaje Ensamblador. Este gusano tiene un tamaño de 20480 Bytes, y está encriptado.
Bobax.A crea el mutex 00:24:03:54A9D para asegurarse de que no se ejecuta más de una copia del gusano al mismo tiempo.