Virus Bobax

SERVER DI POSTA
HOME	Computer & Dintorni	I VIRUS	Stampa la pagina

E' un Worm di recente diffusione che si distingue in ben 4 varianti: Worm_Bobax.A; Worm_Bobax.B; Worm_Bobax.C; Worm_Bobax.D. Inoltre, ogni variante viene riconosciuta anche con altri nomi. Per il Worm_Bobax.A potremo trovare anche le descrizioni Bobax; Win32/Bobax.A; Worm.Win32.Bobax; W32/Bobax.A; TrojanProxy.Win32.Bobax.a. Per il Worm_Bobax.B potremo trovare, invece, descrizioni tipo Bobax.B; TrojanProxy.Win32.Bobax.b; W32/Bobax.B; W32/Bobax.worm.dll. Per il Worm_Bobax.C avremo Bobax.C; TrojanProxy.Win32.Bobax.c; Win32/Bobax.C; W32/Bobax-C; W32.Bobax.C; W32/Bobax.worm.c. Infine, il Worm_Bobax.D potremo riconoscerlo anche perché denominato Bobax.D; W32.Bobax.D; Bloodhound.Packed; Exploit-DcomRpc; TrojanProxy.Win32.Bobax.b; Win32/Bobax.D; W32/Bobax-D. I sistemi operativi colpiti da questo worm sono le versioni 2000 e XP di Windows. Tutte le varianti del worm installano un proxy nella macchina infettata e sfruttano, come nel caso di Sasser, la vulnerabilità del componente LSASS.EXE di Windows XP e 2000, restando invisibile nella lista dei processi, quando si esegue. Una volta installato in un computer, può essere controllato da remoto e utilizzato come server proxy per lanciare programmi, dati in genere, posta indesiderata (spam). Il worm, da un computer infettato, fa una scansione degli indirizzi IP in rete e si connette alla porta TCP/5000, usata per identificare il sistema e cercare macchine che utilizzino Windows XP. Una volta trovata, verifica se sia attaccabile ossia che non sia protetta con la patch "MS04-011 (835732)", rilasciata appositamente da Microsoft per correggere la vulnerabilità del componente LSASS.EXE. Se la macchina è attaccabile, usa la porta TCP/445 ed i comandi Html per scaricare il worm vero e proprio. I dati scaricati sono contenuti in un file di nome SVC.EXE che libera il worm nella directory TEMP di Windows con un nome casuale e con estensione ".tmp". Poi, cancella i files contenuti nella stessa cartella ed il cui nome comincia con il carattere "~". Quindi, si sovrappone ad uno dei processi di Explorer attraverso una tecnica chiamata "DLL Injection". Grazie a quest'ultimo processo, il worm viene eseguito come se fosse legato ad Explorer e, quindi, non risulta visibile tra quelli visualizzati con il Task Manager. Per attivarsi, ad ogni avvio del computer, crea nel registro la chiave: "HKLM\Software\Microsoft\Windows\CurrentVersion\Run [nome a caso1] = c:\windows\system\[nome a caso 2].exe" e la chiave "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices [nome a caso 1] = c:\windows\system\[nome a caso 2].exe". Una volta attivo, apre una porta qualsiasi del computer infettato e attende una connessione a internet. La porta utilizzata, simulerà un server Simple Mail Transfer Protocol (SMTP) che può essere usato da un utente remoto per l'invio di posta elettronica, per scaricare ed eseguire file, avviare processi di analisi di indirizzi, inviare informazioni sul sistema infettato e altre funzioni. Il worm può essere rimosso agendo sul registro di sistema, operazione particolarmente delicata e da eseguire, quindi, con la massima attenzione. Per essere sicuri di non causare danni al computer, prima della rimozione sarà meglio fare il backup del registro. Queste le operazioni da eseguire:

1 Riavviare il computer in Modalità Provvisoria;
2 Aprire il registro di sistema e seguire il percorso:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3 Evidenziare la cartella "Run" ed individuare, nel pannello di destra, il valore:
[nome a caso1] = c:\windows\system\[nome a caso 2].exe
4 Sempre nel registro di sistema seguire il percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
5 Evidenziare la cartella "RunServices" ed individuare, nel pannello di destra, il valore:
[nome a caso 1] = c:\windows\system\[nome a caso 2].exe
6 Chiudere il registro di sistema;
7 Eliminare i files dal cestino;
8 Riavviare il computer, sempre in modalità provvisoria;
9 Fare una scansione del disco fisso con un antivirus aggiornato;
10 Riavviare il computer in modalità normale.

Prima della procedura da attuare sul registro di sistema, è necessario ricordare che sui sistemi operativi WinME e WinXP è necessario disabilitare il "Ripristino di configurazione del sistema" (System Restore). Sui sistemi operativi WinME è sufficiente cliccare su "Start" e seguire il percorso "Impostazioni => Pannello di Controllo => Sistema e selezionare la scheda "Prestazioni". Scegliere "File System" e quindi la scheda "Risoluzione dei problemi". Su quest'ultima è necessario selezionare "Disattiva ripristino configurazione di sistema" e confermare con OK. Verrà chiesto di riavviare il computer. Sui sistemi operativi WinXP, invece, seguire il percorso "Start => Risorse del Computer => Proprietà. Selezionare la scheda "Ripristino configurazione di sistema" e mettere un segno di spunta su "Disattiva Ripristino configurazione di sistema su tutte le unità". Confermare cliccando su "Applica" e riavviare il computer. Terminata la rimozione del virus, riattivare il Ripristino di configurazione del sistema eliminando i segni di spunta precedentemente applicati.