Anche i motori di ricerca su Internet utilizzano il virus Bobax

Il virus Bobax.AA ha iniziato a diffondersi molto rapidamente su Internet utilizzando algoritmi speciali e l'uso di motori di ricerca Internet.

Bobax.AA è un worm piuttosto complesso. Si diffonde principalmente attraverso la posta elettronica, il cui contenuto viene compilato utilizzando vari algoritmi speciali. E raccoglie gli indirizzi e-mail necessari non solo dal computer infetto, poiché può anche utilizzare i motori di ricerca Internet.

Bobax.AA avvia un attacco Denial of Service contro un sito Web predefinito e quindi apre una backdoor per gli aggressori. Il worm si rimuove automaticamente dai computer infetti dopo il 15 settembre.

Quando Bobax.AA si avvia, esegue le seguenti azioni:

1. Controlla la data di sistema e, se mostra una data successiva al 2005 settembre 15, si rimuove dal sistema.

2. Crea un mutex per eseguire solo un'istanza sul sistema.

3. Arresta vari processi, inclusi quelli che appartengono al software di sicurezza.

4. Creare i seguenti file:
% Windir% \ services.exe
% Windir% \ msdefr.exe
c: \ Autorun.inf

5. Il database di registrazione
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion n \ Run
aggiunge alla tua chiave
“RPCserv32g” = “%Windir%\services.exe”.

6. Raccoglie indirizzi e-mail dalla rubrica di Windows e file con estensioni diverse.

7. Utilizzare google.com e accoona.com per cercare ulteriori indirizzi e-mail.

8. Inoltrati agli indirizzi e-mail raccolti. Compila l'oggetto e il messaggio delle e-mail infette da un elenco predefinito basato su algoritmi piuttosto complicati. Allega un file con allegato .doc, .txt, .info, .pif, .scr o .exe.

9. Avvia un attacco di negazione del servizio contro “www.rit.edu”.

10. Aprire un cancello posteriore attraverso una porta selezionata casualmente.

11. Stai tentando di connetterti a computer remoti tramite le porte 4242 o 4661.

12.Scaricare file da Internet.