Rimuovere il worm Bagle

Cos’è?
Bagle
conosciuto anche come Tooso, Mitglieder o Beagle è un worm scritto in Assembly molto pericoloso ed in continuo sviluppo che colpisce tutti i sistemi Windows.
I ceppi e le varianti sono infinite e vengono classificate con delle lettere: .a, .aa, .ah, .ai, .al, .an, .ao, .as, .at, .au, .ax, .ay, .b, .bb, .bj, .bn, .bo, .c, .cc, .ch, .cl, .cy, .d, .da, .dx, .e, .eb, .ef, .eg, .ek, .f, .fb, .fj, .fm, .fy, .gm, .gt, .i, .j, .k, .l, .m, .n, .p, .q, .r, .s, .t, .y

Nel gennaio del 2004, fu identificato il primo ceppo Bagle.A a febbraio il secondo ceppo molto più pericoloso Bagle.B
Da allora il worm ha subito delle metamorfosi, continuando ad essere in cima alle liste delle minacce più diffuse stilate dalle maggiori società antivirali, infettando milioni di Pc.
Nelle varianti da .GE (2006) in poi, Bagle ha perfezionato le tecniche di rootkit, caricando un driver kernel-mode per occultare ai software di sicurezza i suoi processi e chiavi di registro e altri malware correlati, rendendo più difficoltosa la rimozione.
Gli autori di Bagle hanno sfruttato il loro worm per popolare e controllare una serie di botnet da usare in attacchi spam e denial-of-service distribuiti. Le diverse varianti mantengono un complesso network di macchine infette e vengono usate normalmente per aiutare le nuove versioni a diffondersi ed evitare il rilevamento.

F-Secure ha messo online un video che rappresenta il funzionamento della variante W32/Bagle.AG@mm

Come si propaga?
Nelle reti di file-sharing (eMule, Torrent) sotto Forma di exe, insinuandosi nei file scaricati da altri utenti, sopratutto nei crack dei software, all’interno di un archivio compresso, come zip o rar.
Via e-mail, ecco alcuni esempi,
Oggetto:

Il corpo del messaggio contiene solo una emoticon: (IMG:http://forum.wininizio.it/style_emoticons/default/smile.gif)
Il file allegato che contiene il worm può avere diverse estensioni, ma il nome può essere solo uno tra i seguenti: “price“, “Price“, “Joke“.
Il mittente del messaggio viene scelto a caso dal worm tra quelli che sono stati trovati nel computer infettato.

Per complicarne l’individuazione e ridurre la dimensione del file, viene compresso con un software di compressione: Themida

Nota: Prima di aprire un file compresso, è consigliabile eseguire la scansione su Virus Total

Cosa provoca l’infezione?

  • apre una backdoor sulla porta di comunicazione TCP 81 (6777 Bagle.A) (8866 Bagle.B)
  • utilizza un proprio motore SMTP per l’invio di email infette agli indirizzi trovati in specifici file sul sistema
  • rimuove Antivirus e Firewall e/o qualsiasi altro software per la protezione del vostro sistema
  • impedisce l’accesso a qualsiasi eseguibile “Win32 è un applicazione non valida”
  • copia se stesso in tutte le cartelle che contengono la stringa “shar”
  • tenta di scaricare nel sistema, da vari URL, un Trojan Downloader mascherato da immagine JPEG
  • impedisce di avviare in modalità provvisoria (Safe Mode)
  • potrebbe disattivare qualche drivers, come l’audio
  • riavvio continuo del pc con comparsa di schermate blu
  • rallenta la velocità del Pc
  • sovrascrive il file host in modo da impedire l’accesso ai siti che potrebbero fornire aiuto ed i tools di rimozione
  • impedisce l’avvio di alcuni servizi: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Condivisione connessione Internet

Come agisce?


Una volta infettato il pc, si copia alla seguente posizione: C:\Windows\System32\windspl.exe

  • crea i files hldrrr.exe e mdelk.exe winfilse.exe in C:\windows\system32\drivers oltre alla cartella downld (hldrrr.exe l’unico file visibile nel task manager e nel log di Hijackthis)
  • dopo il riavvio carica il driver srosa.sys
  • wintems.exe scarica altro codice nocivo in %Temp%\~[nome random].exe
  • hidr.exe termina ed elimina processi e servizi della maggior parte dei software di sicurezza
  • carica un kernel-mode driver m_hook.sys, che usa le tecniche di rootkit per nascondere la presenza del worm nel sistema infetto
  • introduce il file wiwshost.exe in sostituzione di explorer.exe

*****Tool di rimozione specifici per il worm bagle*****

EliBaglA

creato da SATINFO è il primo tool di cui si ha notizia specifico per la rimozione del virus BAGLE e delle sue varianti,
elimina il processo residente in memoria, i file e le chiavi di registro creati dal virus, e ristabilisce la modalità provvisoria.

Sistema: Windows 2000/XP/Vista

Download:

Zonavirus


Il download è in fondo alla pagina:

Scaricate Elibagla sul desktop, disconnettete internet e chiudete l’antivirus
Doppio click sull’icona per avviare il programma:
(se usate Vista eseguite come amministratore)


assicuratevi che la casella Eliminar Ficheros Automaticamente sia spuntata e cliccate su Explorar.
Se usate Vista il programma vi chiederà il permesso di controllare alcune cartelle, cliccare su OK
Al termine della scansione riavviate il computer,
il log con le informazioni di ciò che è stato effettuato lo trovate in C:\InfoSat.txt come conferma il pulsante Salir
Se la scansione non dovesse avere successo in modalità normale, va eseguità in modalità provvisoria


BagleGUI creato da SOPHOS è un tool specifico per la rimozione di W32/Bagle

Sistema: Windows 95/98/NT/2000/XP/2003

Download: Sophos.com


FxBeagle

Symantec Security Response ha sviluppato uno strumento di rimozione per eliminare le infezioni causate da molte varianti di Beagle

Cosa fa lo strumento di rimozione

  1. Interrompe i processi virali di W32.Beagle@mm e di Trojan.Tooso.
  2. Elimina i file di W32.Beagle@mm e di Trojan.Tooso.
  3. Elimina le voci del Registro di sistema aggiunte da W32.Beagle@mm e di Trojan.Tooso.

Nota: Lo strumento ripristina le impostazioni predefinite dei seguenti servizi:

    • Aggiornamenti automatici
    • Avvisi
    • Windows Firewall/Internet Connection Sharing (ICS)

Sistema: Windows 2000/XP/Vista

Download:

Symantec.com

Nota: per eseguire lo strumento è necessario collegarsi con privilegi di amministratore.

FindyKill

creato da Chiquitine29 è uno degli ultimi tool reperibili in rete per contrastare la crescita del Bagle. | Info | Tutorial
E’ in lingua francese e richiede installazione, una volta installato va eseguito in due fasi:

1. Recherche des fichiers infectieux : Ricerca dei file infetti
2. Suppression des fichiers infectieux : Eliminazione dei file infetti

Una volta avviata la ricerca, eseguirà una scansione completa del pc, cercando i processi attivi del bagle,
estende la ricerca anche alle chiavi del Registro Moutpoint2 dei supporti rimovibili, rileva Crepe / Keygen
è in grado di ripristinare la modalità provvisoria, l’opzione dei file nascosti e rilanciare i servizi di sistema terminati dal worm.

Sistema: Windows XP/Vista

Download: malekal.com

Scaricate FindyKill sul desktop
Doppio click sull’icona per avviare l’installazione:
(se usate Vista eseguite come amministratore)

Cliccate su Suivant per continuare l’installazione

Inserite la prima spunta per accettare la licenza e proseguite > Suivant

Cliccate su “Si” per destinare una cartella al programma

Infine cliccate su Dèmarrer > Quitter per terminare l’installazione.

Cercate l’icona del programma sul desktop o in programmi ed eseguitelo

Come anticipato dovrete usare prima il tasto 1 (invio) per la ricerca e successivamente il tasto 2 (invio) per la pulizia.

Una volta terminata la scansione apparirà una  schermata con il report.

Il report delle operazioni effettuate lo potete trovare anche in C:\FindyKill.txt

Nota: una volta terminata la pulizia potete disinstallare il programma usando l’opzione 4
4. Desinstaller FindyKill: Disinstallare FindyKill

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: