TrendLabs detectó un foco poco común de actividad de código malicioso, a partir de reportes recibidos desde los Estados Unidos, Singapur, Irlanda, Japón, Perú, Australia y la India. Se identificó entonces al gusano informático WORM_BOBAX.P.
Esta primera alerta amarilla de junio es provocada por el trabajo infeccioso que realizan conjuntamente dos códigos maliciosos, WORM_BOBAX.P y TROJ_SMALL.AHE. El mecanismo se realiza en dos pasos, y es el siguiente:
Los computadores reciben un mensaje de correo electrónico que lleva adjunto un archivo, que al ejecutarse instala en la máquina el troyano SMALL.AHE. La única función de este troyano es descargar de Internet una copia de WORM_BOBAX.P e instalarlo en el sistema.
Cuando BOBAX.P se ejecuta, realiza una serie de modificaciones en el sistema para garantizar su autoejecución, e inicia una rutina de envío masivo de correo electrónico, creando mensajes que llevan como archivo adjunto una copia de SMALL.AHE, e iniciar así un nuevo ciclo infeccioso.
Este gusano se aprovecha de las máquinas en las que no se ha instalado el parche que corrige la vulnerabilidad de Windows conocida como LSASS, que consiste en un desbordamiento de la memoria que permite a un usuario remoto tomar control del sistema.
Al infectar un sistema, BOBAX.P modifica el archivo HOSTS, y evita que la computadora pueda conectarse a los sitios Web de diversas empresas de seguridad y antivirus. De igual manera, deshabilita la protección de las aplicaciones de seguridad que pudieran estar instaladas en la computadora.
