Sono passati pochi giorni dalla scoperta di un pericoloso bug presente in Internet Explorer che subito i virus writers hanno scritto un nuovo worm che sfrutta la falla.

Il worm, denominato Bofra da Sophos Antivirus, è stato erroneamente associato da molte società di antivirus alla famiglia del Mydoom, precisamente varianti AG e AH.
Tuttavia le differenze che ci sono tra questo worm e le varianti del worm Mydoom sono maggiori rispetto alle analogie, per esempio il modo differente di diffondersi. I tool di analisi di F-Secure hanno evidenziato che la percentuale di somiglianza è del 49%, poca per affermare che sia un Mydoom.

Il worm arriva attraverso una e-mail ma senza allegato.

Il campo FROM è variabile tra:

Becky
joanna
KETTY
jane
sindy

L'oggetto della e-mail può essere:

hey!
Hello
funny photos :)

Il corpo del messaggio può essere:

FREE ADULT VIDEO! SIGN UP NOW!

Look at my homepage with my last webcam photos!

(in altre varianti del worm il testo può variare:

Congratulations! PayPal has successfully charged $175 to your credit card.
Your order tracking number is A866DEC0, and your item will be shipped
within three business days

To see details please click this <link>

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by
an automated message system and the reply will not be received.

o

Hi! I am looking for new friends. I am from Miami, FL.
You can see my <homepage> with my last webcam photos!

o

Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my <homepage> with my weblog and last webcam photos!

See you!

)

Il corpo del messaggio contiene un link che connette ad un server. La pagina web linkata contiene l'exploit per il bug IFRAME e permette di scaricare sul pc il worm.

Alla fine del messaggio il worm può includere una delle seguenti stringhe:

scanned for viruses by AMaViS 0.2.1 (http://amavis.org/)
Checked for viruses by Gordano's AntiVirus Software
Checked by Dr.Web (http://www.drweb.net)

Una volta attivo nel sistema il worm crea le seguenti chiavi di registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Rhino

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Rhino

e si copia all'interno della directory di sistema o all'interno della directory dei files temporanei con un nome casuale composto da 2 a 8 caratteri terminante in 32.exe (es. EOFJNF32.EXE).

Il worm tenta poi di cercare all'interno dei files

wab
pl
adbh
tbbg
dbxn
aspd
phpq
shtl
htmb
txt

indirizzi e-mail a cui spedirsi, attraverso un motore SMTP proprio.

Infine il worm apre una porta TCP partendo dalla 1638 (0x666). Questo perché la macchina diventa il server al quale i link mandati nelle e-mail faranno riferimento per infettare altri pc e così via a catena. Qui sotto uno schema esplicativo del funzionamento del worm.

Il worm contiene una backdoor IRC che permette ad un attacker remoto di eseguire files arbitrariamente.
Per rendere più difficile la sua individuazione, il worm tenta di "iniettarsi" all'interno del processo explorer.exe.

Visto che, a parte Windows XP con il Service Pack 2, tutti gli altri sistemi operativi con Internet Explorer sono vulnerabili, si raccomanda di aggiornare immediatamente il proprio software antivirus.