Aparecen nuevas variantes del gusano Bobax

l igual que la familia de gusanos Sasser, las tres variantes de Bobax
aprovechan la vulnerabilidad LSASS de Windows para propagarse. Así, intentanacceder a un gran número de direcciones IP para comprobar si los ordenadores con que se corresponden presentan la vulnerabilidad LSASS.

En caso afirmativo, el gusano envía instrucciones para que el propio equipo descargue y ejecute un archivo conteniendo el código malicioso. Además, en el momento en que alguno de los gusanos Bobax hace uso de la vulnerabilidad LSASS, se produce un desbordamiento de buffer que desencadena el reinicio del ordenador.

Pese a que la vulnerabilidad LSASS sólo afecta a sistemas que funcionen bajo Windows XP y 2000, Bobax y sus variantes también pueden afectar al resto de plataformas Windows. En ese caso los gusanos no pueden entrar en los ordenadores de forma automática, sino que es necesario que el usuario ejecute un archivo que contenga algún ejemplar de Bobax para que el equipo quede infectado.

Una vez instalado en el sistema, los gusanos Bobax abren varios puertos de comunicaciones de forma aleatoria, permitiendo a usuarios maliciosos utilizar el sistema como un servidor SMTP para el envío de correo electrónico. De esta manera, los ordenadores pueden verse convertidos en zombis para el envío de correo no solicitado o "spam".

Por otra, parte, PandaLabs ha detectado el envío de mensajes de correo electrónico que contienen el nuevo troyano Ldpinch.W. Si bien no se trata de un código malicioso extremadamente peligroso, hace referencia a un tema de máxima actualidad -el conflicto de Irak-, lo que podría confundir a los usuarios y conseguir que algunos equipos puedan verse afectados.

Las características del mensaje en el que Ldpinch.W llega al equipo son las siguientes:

Asunto:
Important news about our soldiers in IRAQ!!!

Cuerpo:
Seven officers was lost today,
follow the link to get the full story.
[dirección de Internet]

Fichero adjunto:
IMPORTANT INFORMATION.ZIP que, a su vez, contiene el archivo IMPORTANT
INFORMATION.SCR.

La dirección de Internet a la que hace referencia el mensaje es auténtica, y se trata de una página con información sobre la guerra de Irak cuya visita no entraña ningún riesgo. Sin embargo, en caso de que el usuario ejecute el archivo IMPORTANT INFORMATION.SCR, se desencadena un proceso que instala a Ldpinch.W en el ordenador.

Este troyano está diseñado para robar información confidencial del sistema y enviarla a una dirección de correo electrónico predeterminada. De esa manera, el creador del virus puede utilizar los datos obtenidos de forma fraudulenta.

Ante la posibilidad de un encuentro con cualquiera de los gusanos Bobax o con Ldpinch.W, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estos nuevos códigos maliciosos.  Asimismo, para evitar el ataque de Bobax o sus variantes es necesario aplicar el parche de Microsoft para corregir la vulnerabilidad LSASS, que puede ser descargado desde http://www.microsoft.com/technet/security/bulletin/MS04 011.mspx.