Al igual que la familia de gusanos Sasser, las tres variantes
de Bobax aprovechan la vulnerabilidad LSASS de Windows para propagarse. Así,
intentan acceder a un gran número de direcciones IP para comprobar
si los ordenadores con que se corresponden presentan la vulnerabilidad LSASS.
En caso afirmativo, el gusano envía instrucciones para que el propio equipo
descargue y ejecute un archivo conteniendo el código malicioso. Además, en el
momento en que alguno de los gusanos Bobax hace uso de la vulnerabilidad LSASS,
se produce un desbordamiento de buffer que desencadena el reinicio
del ordenador.
Pese a que la vulnerabilidad LSASS sólo afecta a sistemas que funcionen bajo
Windows XP y 2000, Bobax y sus variantes también pueden afectar al resto de
plataformas Windows. En ese caso los gusanos no pueden entrar en los ordenadores
de forma automática, sino que es necesario que el usuario ejecute un archivo que
contenga algún ejemplar de Bobax para que el equipo quede infectado.
Una vez instalado en el sistema, los gusanos Bobax abren varios puertos de
comunicaciones de forma aleatoria, permitiendo a usuarios maliciosos utilizar el
sistema como un servidor SMTP para el envío de correo electrónico. De esta
manera, los ordenadores pueden verse convertidos en zombis para el envío de
correo no solicitado o "spam".
|