Friday, May 21, 2004

- Panda Software advierte sobre
dos nuevas variantes del gusano Bobax -
Virus Alerts, por Panda Software (http://www.pandasoftware.es)

Madrid, 19 de mayo de 2004 - PandaLabs ha detectado la presencia de las
nuevas variantes B y C del gusano Bobax. Estos códigos maliciosos se
unen a
Bobax.A, identificado hace algunos días. De ese modo, la probabilidad
de que
un equipo se vea afectado por la acción de alguno de los gusanos Bobax
se
eleva considerablemente.

Al igual que la familia de gusanos Sasser, las tres variantes de Bobax
aprovechan la vulnerabilidad LSASS de Windows para propagarse. Así,
intentan
acceder a un gran número de direcciones IP para comprobar si los
ordenadores
con que se corresponden presentan la vulnerabilidad LSASS.

En caso afirmativo, el gusano envía instrucciones para que el propio
equipo
descargue y ejecute un archivo conteniendo el código malicioso. Además,
en
el momento en que alguno de los gusanos Bobax hace uso de la
vulnerabilidad
LSASS, se produce un desbordamiento de buffer que desencadena el
reinicio
del ordenador.

Pese a que la vulnerabilidad LSASS sólo afecta a sistemas que funcionen
bajo
Windows XP y 2000, Bobax y sus variantes también pueden afectar al
resto de
plataformas Windows. En ese caso los gusanos no pueden entrar en los
ordenadores de forma automática, sino que es necesario que el usuario
ejecute un archivo que contenga algún ejemplar de Bobax para que el
equipo
quede infectado.

Una vez instalado en el sistema, los gusanos Bobax abren varios puertos
de
comunicaciones de forma aleatoria, permitiendo a usuarios maliciosos
utilizar el sistema como un servidor SMTP para el envío de correo
electrónico. De esta manera, los ordenadores pueden verse convertidos
en
zombis para el envío de correo no solicitado o "spam".

Por otra, parte, PandaLabs ha detectado el envío de mensajes de correo
electrónico que contienen el nuevo troyano Ldpinch.W. Si bien no se
trata de
un código malicioso extremadamente peligroso, hace referencia a un tema
de
máxima actualidad -el conflicto de Irak-, lo que podría confundir a los
usuarios y conseguir que algunos equipos puedan verse afectados.

Las características del mensaje en el que Ldpinch.W llega al equipo son
las
siguientes:

Asunto:
Important news about our soldiers in IRAQ!!!

Cuerpo:
Seven officers was lost today,
follow the link to get the full story.
[dirección de Internet]

Fichero adjunto:
IMPORTANT INFORMATION.ZIP que, a su vez, contiene el archivo IMPORTANT
INFORMATION.SCR.

La dirección de Internet a la que hace referencia el mensaje es
auténtica, y
se trata de una página con información sobre la guerra de Irak cuya
visita
no entraña ningún riesgo. Sin embargo, en caso de que el usuario
ejecute el
archivo IMPORTANT INFORMATION.SCR, se desencadena un proceso que
instala a
Ldpinch.W en el ordenador.

Este troyano está diseñado para robar información confidencial del
sistema y
enviarla a una dirección de correo electrónico predeterminada. De esa
manera, el creador del virus puede utilizar los datos obtenidos de
forma
fraudulenta.

Ante la posibilidad de un encuentro con cualquiera de los gusanos Bobax
o
con Ldpinch.W, Panda Software recomienda extremar las precauciones y
mantener actualizado el software antivirus. Los clientes de Panda
Software
ya tienen a su disposición las correspondientes actualizaciones para la
detección y desinfección de estos nuevos códigos maliciosos.

Asimismo, para evitar el ataque de Bobax o sus variantes es necesario
aplicar el parche de Microsoft para corregir la vulnerabilidad LSASS,
que
puede ser descargado desde
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx.

Más información sobre éstas u otras amenazas informáticas en la
Enciclopedia
de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/

Para la detección y desinfección gratuita de los ordenadores pueden
utilizar
el antivirus on-line Panda ActiveScan, disponible en
http://www.pandasoftware.es.