Panda Software advierte sobre dos variantes del gusano Bobax.

- Se trata de gusanos que, al igual que Sasser, aprovechan la vulnerabilidad LSASS de Windows para propagarse y convertir los equipos en zombis para el envío de spam.
– Además, PandaLabs ha detectado la aparición del troyano Ldpinch.W, que ha sido enviado por usuarios maliciosos en mensajes de correo electrónico con el asunto: “Important news about our soldiers in IRAQ!!!”

PandaLabs ha detectado la presencia de las nuevas variantes B y C del gusano Bobax.

Estos códigos maliciosos se unen a Bobax.A, identificado hace algunos días. De ese modo, la probabilidad de que un equipo se vea afectado por la acción de alguno de los gusanos Bobax se eleva considerablemente.

Al igual que la familia de gusanos Sasser, las tres variantes de Bobax aprovechan la vulnerabilidad LSASS de Windows para propagarse. Así, intentan acceder a un gran número de direcciones IP para comprobar si los ordenadores con que se corresponden presentan la vulnerabilidad LSASS.

En caso afirmativo, el gusano envía instrucciones para que el propio equipo descargue y ejecute un archivo conteniendo el código malicioso. Además, en el momento en que alguno de los gusanos Bobax hace uso de la vulnerabilidad LSASS, se produce un desbordamiento de buffer que desencadena el reinicio del ordenador.

Pese a que la vulnerabilidad LSASS sólo afecta a sistemas que funcionen bajo Windows XP y 2000, Bobax y sus variantes también pueden afectar al resto de plataformas Windows. En ese caso los gusanos no pueden entrar en los ordenadores de forma automática, sino que es necesario que el usuario ejecute un archivo que contenga algún ejemplar de Bobax para que el equipo quede infectado.

Una vez instalado en el sistema, los gusanos Bobax abren varios puertos de comunicaciones de forma aleatoria, permitiendo a usuarios maliciosos utilizar el sistema como un servidor SMTP para el envío de correo electrónico. De esta manera, los ordenadores pueden verse convertidos en zombis para el envío de correo no solicitado o “spam”.

Por otra, parte, PandaLabs ha detectado el envío de mensajes de correo electrónico que contienen el nuevo troyano Ldpinch.W. Si bien no se trata de un código malicioso extremadamente peligroso, hace referencia a un tema de máxima actualidad -el conflicto de Irak-, lo que podría confundir a los usuarios y conseguir que algunos equipos puedan verse afectados.

Las características del mensaje en el que Ldpinch.W llega al equipo son las siguientes:

Asunto:
Important news about our soldiers in IRAQ!!!

Cuerpo:
Seven officers was lost today,
follow the link to get the full story.
[dirección de Internet]

Fichero adjunto:
IMPORTANT INFORMATION.ZIP que, a su vez, contiene el archivo IMPORTANT INFORMATION.SCR.
La dirección de Internet a la que hace referencia el mensaje es auténtica, y se trata de una página con información sobre la guerra de Irak cuya visita no entraña ningún riesgo. Sin embargo, en caso de que el usuario ejecute el archivo IMPORTANT INFORMATION.SCR, se desencadena un proceso que instala a Ldpinch.W en el ordenador.

Este troyano está diseñado para robar información confidencial del sistema y enviarla a una dirección de correo electrónico predeterminada. De esa manera, el creador del virus puede utilizar los datos obtenidos de forma fraudulenta.

Ante la posibilidad de un encuentro con cualquiera de los gusanos Bobax o con Ldpinch.W, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de estos nuevos códigos maliciosos.

Asimismo, para evitar el ataque de Bobax o sus variantes es necesario aplicar el parche de Microsoft para corregir la vulnerabilidad LSASS, que puede ser descargado desde:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

Más información sobre éstas u otras amenazas informáticas en la Enciclopedia de Panda Software, disponible en la dirección:
www.pandaantivirus.com.ar/enciclopedia

Para la detección y desinfección gratuita de los ordenadores pueden utilizar el antivirus on-line Panda ActiveScan, disponible en:
www.ActiveScan.com.ar

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Fuente:
Panda Antivirus
Distribuidor Mayorista Panda Software Argentina

www.pandaantivirus.com.ar
Información de Panda Software.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática