Podjetje Pande Software, eden vodilnih razvijalcev programske opreme za zaščito računalnikov, je v poročilo o virusih in vdorih minulega tedna izpostavilo črve Bobax.A, Bobax.B, Bobax.C, Kibuv.A in Lovgate.AF ter trojanskega konja Ldpinch.W.
Tri različice črva Bobax (A,B in C) so si zelo podobne, edina razlika med njimi je v velikosti kode okužbe. Glavna značilnost te nove družine je, da tako kot črv Sasser izkoriščajo ranljivost Windows LSASS. Po spletu iščejo računalnike, ki vsebujejo omenjeno ranljivost. Če so pri tem uspešni, Bobax pošlje navodila prizadetemu računalniku, da naloži in požene kopijo črva. Pri izkoriščanju ranljivosti LSASS, povzročijo prekoračitev medpomnilnika, ki ugaša in ponovno zaganja računalnik.
Čeprav ranljivost LSASS prizadene le operacijske sisteme Windows XP/2000, lahko Bobax in njegove različice prizadenejo tudi druge platforme Windows. V tem primeru se Bobax ne more širiti avtomatično, ampak mora datoteko s kopijo črva zagnati uporabnik. Ko se izvrši, Bobax odpre vrata TCP in tako hekerjem omogoči uporabljati računalnik kot SMTP poštne strežnike. Tako se računalniki lahko spremenijo v "zombije" za pošiljanje neželene e-pošte.
Kibuv.A je še en posnemovalec črva Sasser in ima podobne učinke. Tudi ta izkorišča ranljivost LSASS za širjenje in pri tem ugaša in prižiga računalnik. Tako kot črvi Bobax tudi Kibuv.A prizadene vse operacijske sisteme Windows, avtomatično pa se širi le v Windows XP/2000.
Lovgate.AF je črv, z značilnostmi stranskih vrat, ki za širjenje uporablja več tehnik, kot so e-pošta, program za izmenjavo datotek KaZaA, skupni omrežni viri in podobno. Ko doseže računalnik, Lovgate.AF odpre vrata in pošlje e-poštno sporočilo oddaljenemu uporabniku, da ga obvesti o okužbi in o tem, da je računalnik dosegljiv preko odprtih vrat.
Trojanski konj Ldpinch.W. hekerji masovno pošiljajo v e-poštnem sporočilu z Zadevo (Subject): "Important news about our soldiers in IRAQ!!!". To sporočilo vsebuje besedilo o konfliktu v Iraku in vsebuje povezavo do spletne strani z informacijami o tej temi. Pripeto ima tudi zgoščeno datoteko important information.zip, ki vsebuje datoteko important information.scr. Ko uporabnik zažene to datoteko, se Ldpinch.W namesti na računalnik. Ldpinch.W krade zaupne informacije iz prizadetega računalnika in jih pošilja na določen e-naslov. Tako lahko avtor trojanskega konja uporabi podatke za zle namene.
