Bobax y sus tres variantes aprovechan el bug del LSASS

por Carlos 20/05/2004 ...

Aun después de varias semanas y dos gusanos, tiempo de sobra para haberse parcheado contra el bug del LSASS, siguen apareciendo nuevos gusanos y variantes de estos. En este caso se trata del Bobax.

Este gusano apareció hace muy poco, y hoy se dan a conocer sus dos nuevas variantes, la B y la C. Como bien sabemos, aprovecha la misma vulnerabilidad que el Sasser y el Cycle, aunque en este caso se busca otro final, el spam.

Si nos encontramos infectados por este gusano, sufriremos los mismos problemas de reinicio por el desbordamiento del buffer y la misma ralentización por la constante generación de IPs y propagación, pero además, estaremos haciendo spam desde nuestro ordenador.

Esto es así porque el Bobax instala un servidor SMTP en nuestra máquina desde el cual está constantemente enviando e-mails.

Para reconocerlo, podemos dirigirnos a nuestro directorio de temporales y buscar un archivo cuyo nombre este compuesto por ocho dígitos y su extensión sea DLL. Este archivo esta comprimido mediante UPX, y cuando es llamado y descomprimido por otro archivo (svc.exe en el directorio de sistema de windows), se integra en el proceso explorer.exe pudiendo provocar su fallo.

En el registro de sistema también realiza algunos cambios, más concretamente añade las dos entradas siguientes:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

entrada = sysdir\nombre.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

entrada = sysdir\nombre.exe

Para deshacernos del gusano, lo conveniente es primeramente eliminar las entradas del registro de sistema, posteriormente eliminamos el archivo svc.exe y desde el administrador de tareas de windows (control + alt + suprimir) terminamos el proceso exlorer.exe. Tras esto debe volver a iniciarse solo, si no lo hace podemos volver al administrador de tareas y en la lengüeta Archivo, Nueva Tarea (ejecutar) introducimos el nombre explorer.exe y le damos a ejecutar. Una vez hecho esto habremos conseguido que el xxxxxxxx.dll que es el Bobax en sí y se está ejecutando deje de hacerlo, permitiéndonos de esta forma eliminarlo.

Tras esto es siempre recomendable, si no deseamos volver a ser infectados, descargar e instalar el parche correspondiente al LSASS. Una vez termine su instalación, si no lo hemos ejecutado con los parámetros correspondientes, nos pedirá que reiniciemos la máquina, por lo que es importante que previamente, y si tenemos XP, hayamos desactivado la restauración de sistema.

-Artículo con todos los pasos detallados:Clíc aquí.

-Windows XP: Clíc aquí.

-Windows NT Workstation: Clíc aquí.

-Windows NT Server 4.0: Clíc aquí.

-Windows NT Terminal Server Edition: Clíc aquí.

-Windows 2000: Clíc aquí.

-Windows XP 64-bits: Clíc aquí.

-Windows XP 64-bits versión 2003: Clíc aquí.

-Windows 2003: Clíc aquí.

-Windows 2003 64-bits: Clíc aquí.


Tags: Redes