Questa settimana ci occuperemo dei worm Bobax.A, Bobax.B, Bobax.C, Kibuv.A, Lovgate.AF e del trojan Ldpinch.W.
I tre virus Bobax (A, B e C) sono molto simili, l'unica differenza tra loroè le dimensioni del codice infetto. La caratteristica principale di questa nuova famiglia di codici maligni è che, come Sasser, sfrutta la vulnerabilità LSASS di Windows per diffondersi. Di conseguenza, questi virus cercano su Internet i computer con questa vulnerabilità. Quando i worm trovano un pc da attaccare, inviano istruzioni per potersi scaricarsi ed eseguire il file contenente il codice maligno. Una volta sfruttata la vulnerabilità LSASS, i virus producono un buffer overrun che riavvia il sistema.
Nonostante la vulnerabilità LSASS sia propria dei sistemi operativi Windows XP/2000, Bobax e tutte queste varianti possono però anche attaccare altre piattaforme Windows. In questo caso, i worm non si diffondono automaticamente ma, per poter causare danni al computer, hanno bisogno di utenti che eseguano il file contenente una copia del codice maligno. Una volta eseguiti, i worm Bobax aprono molte porte TCP, permettendo agli hacker di utilizzare questi computer come server SMTP, tanto da rendere i computer una sorta di "zombi" per l'invio di messaggi spam.
Kibuv.A è un altro imitatore di Sasser e i suoi effetti sono molto simili. Anche questo sfrutta la vulnerabilità di Windows e causa il continuo riavvio del sistema. Come Bobax, Kibuv.A funziona in tutti i sistemi operativi Windows, ma agisce automaticamente solo con Windows XP/2000.
Lovgate.AF è un virus con caratteristiche di backdoor che utilizza diversi metodi di diffusione come e-mail, P2P, file condivisi dal programma KaZaA, risorse condivise di rete, ecc. Una volta colpito il pc, Lovgate.AF apre una porta per inviare un messaggio ad un utente remoto, avvisando che il computer è stato colpito e che ciò è accaduto attraverso la porta aperta.
In fine, il trojan Ldpinch.W è stato inoltrato in modo massiccio da utenti malintenzionati attraverso un messaggio di posta elettronica con oggetto"Important news about our soldiers in IRAQ!!!". Il messaggio contiene un testo legato al conflitto in Iraq, ed allega un link ad un sito web con informazioni sui fatti Questa e-mail ha un allegato compresso IMPORTANT INFORMATION.ZIP, che a sua volta, contiene il file IMPORTANT INFORMATION.SCR . Quando l'utente apre il file, Ldpinch.W verrà installato nel pc. Ldpinch.W è stato creato per rubare dati confidenziali dai computer danneggiati e per mandarli a specifici indirizzi e-mail. In questo modo l'autore del virus ottiene informazioni in modo fraudolento.