W32/Bobax.A. Utiliza la vulnerabilidad LSASS
http://www.vsantivirus.com/bobax-a.htmNombre: W32/Bobax.A
Tipo: Gusano de Internet
Alias: Bobax, Win32/Bobax.A, Worm.Win32.Bobax, WORM_BOBAX.A,
TrojanProxy.Win32.Bobax.a
Fecha: 16/may/04
Plataforma: Windows 32-bit
Tamaño: 20,480 bytes
Reportado el 16 de mayo de 2004, Bobax es un gusano del tipo Sasser, que utiliza la vulnerabilidad en el componente LSASS.EXE de Windows XP y 2000 para propagarse.
El gusano escanea direcciones IP al azar en busca de computadoras vulnerables. Son afectadas todas aquellas que no tengan instalado el parche correspondiente (ver "MS04-011 Actualización crítica de Windows (835732)",
Cuando el gusano infecta un equipo remoto, el exploit utiliza comandos HTTP enviados al puerto TCP/445 para descargar el gusano propiamente dicho de un servidor web instalado por el propio gusano en la máquina actualmente infectada, que permanece escuchando en un puerto aleatorio.
Los datos son descargados en un archivo "dropper" llamado SVC.EXE. Este archivo libera el cuerpo principal del gusano (un .DLL) en un directorio temporal con un nombre al azar. El gusano se ejecuta inyectándose en un proceso del Explorer con una técnica llamada DLL Injection. Debido a que el gusano se ejecuta como un hilo de ejecución del propio Explorer, el mismo no es visible como un proceso separado.
También abre un puerto al azar en el equipo infectado, y queda esperando una conexión. Este puerto simula ser un servidor SMTP (Simple Mail Transfer Protocol), que puede ser usado por un usuario remoto para el envío de correo electrónico.
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre al azar 1] = c:\windows\system\[nombre al azar2].exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Crea el siguiente mutex para no ejecutarse más de una vez en
memoria:
00:24:03:54A9D
* IMPORTANTE:
Después de la limpieza, no conectar el equipo a Internet, hasta instalar el parche para la vulnerabilidad LSASS (MS04- 011). Si es necesario, descargarlo antes de proceder al resto de la limpieza, desde el siguiente enlace para instalarlo posteriormente:
MS04-011 Actualización crítica de Windows (835732)
* Métodos para detener el reinicio de Windows
La descarga del parche correspondiente, puede verse dificultada por el constante reinicio del equipo infectado (un efecto secundario del exploit que se vale de la vulnerabilidad en el componente LSASS). Para evitarlo, siga cualquiera de estos métodos:
1. Simplemente atrase el reloj del sistema una o dos horas (ajústelo nuevamente a la hora correcta luego de la instalación del parche).
2. Desde Inicio, Ejecutar, escriba CMD y pulse Enter. Luego ingrese el siguiente comando (más Enter):
shutdown -a
* Deshabilitar los recursos compartidos
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
* Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
[nombre al azar 1] = c:\windows\system\[nombre al azar2].exe
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
W32/Bobax.B. Variante del Bobax.A con servidor proxy
Igual que el anterior sólo cambia el puerto utlizado el 5000 y el
mutex que utiliza que en este es:
04:12:20:144211262
W32/Bobax.C. Variante del Bobax.A con servidor proxy, utiliza el mismo puerto 5000
Mutex que utiliza:
06:08:07:144211263
