Allarme da Panda Software: il virus sfrutta la vulnerabilità LSASS come Sasser. Identificato anche il trojan Ldpinch.W che arriva via e-mail sfruttando l’onda emotiva del conflitto iracheno
21 maggio 2004 Da Panda Software arriva la scoperta delle varianti
B e C del worm Bobax. I due codici maligni, che seguono di pochissimo
Bobax.A, sfruttano la vulnerabilità LSASS di Windows per
diffondersi.
Il funzionamento ricalca quello di Sasser: il worm scandaglia gli indirizzi
IP alla ricerca di PC vulnerabili. Una volta trovati installa una copia
del codice nella macchina con conseguente buffer underrun che causa il riavvio
del sistema stesso.
Nonostante LSASS sia una vulnerabilità propria dei sistemi XP e 2000,
Bobax può infettare anche altri computer Windows. In
questi casi, il worm non si insedia automaticamente, ma è necessario
che l’utente esegua un file che contiene un facsimile di Bobax. Quest’ultimo
apre a caso diverse porte di comunicazione trasformando di fatto il PC in un
server SMTP per inviare e-mail.
Per maggiori informazioni su Bobax, fate riferimento a questo indirizzo.
Parallelamente, PandaLabs ha scoperto diverse e-mail con il trojan
Ldpinch.W. In sé, non è un codice particolarmente pericoloso,
ma si avvantaggia delle notizie sul conflitto iracheno per catturare l’attenzione
degli utenti. Il messaggio ha le seguenti caratteristiche:
Oggetto: Important news about our soldiers in Iraq!!!
Messaggio: Seven Seven officers were lost today,follow the link to get (indirizzo Internet). L’indirizzo in effetti fornisce
the full story
delle informazioni sulla guerra in Iraq, ma se l’utente avvia il file
allegato (IMPORTANT INFORMATION.ZIP, che contiene il file IMPORTANT
INFORMATION.SCR) installa il virus che cerca di prendere informazioni confidenziali
dal PC e invirale a determinati indirizzi e-mail.
Maggiori informazioni a questo indirizzo di Panda Software.
