Inviato September 25, 2008 Bagle: il terribile worm Cos'è? Bagle conosciuto anche come Tooso, Mitglieder o Beagle è un worm scritto in Assembly molto pericoloso ed in continuo sviluppo che colpisce tutti i sistemi Windows. I ceppi e le varianti sono infinite e vengono classificate con delle lettere: .a, .aa, .ah, .ai, .al, .an, .ao, .as, .at, .au, .ax, .ay, .b, .bb, .bj, .bn, .bo, .c, .cc, .ch, .cl, .cy, .d, .da, .dx, .e, .eb, .ef, .eg, .ek, .f, .fb, .fj, .fm, .fy, .gm, .gt, .i, .j, .k, .l, .m, .n, .p, .q, .r, .s, .t, .y Nel gennaio del 2004, fu identificato il primo ceppo Bagle.A a febbraio il secondo ceppo molto più pericoloso Bagle.B Da allora il worm ha subito delle metamorfosi, continuando ad essere in cima alle liste delle minacce più diffuse stilate dalle maggiori società antivirali, infettando milioni di Pc. Nelle varianti da .GE (2006) in poi, Bagle ha perfezionato le tecniche di rootkit, caricando un driver kernel-mode per occultare ai software di sicurezza i suoi processi e chiavi di registro e altri malware correlati, rendendo più difficoltosa la rimozione. Gli autori di Bagle hanno sfruttato il loro worm per popolare e controllare una serie di botnet da usare in attacchi spam e denial-of-service distribuiti. Le diverse varianti mantengono un complesso network di macchine infette e vengono usate normalmente per aiutare le nuove versioni a diffondersi ed evitare il rilevamento. F-Secure ha messo online che rappresenta il funzionamento della variante W32/Bagle.AG@mm Come si propaga? Nelle reti di file-sharing (eMule, Torrent) sotto Forma di exe, insinuandosi nei file scaricati da altri utenti, sopratutto nei crack dei software, all'interno di un archivio compresso, come zip o rar. Via e-mail, ecco alcuni esempi, Oggetto: Re: Re: Hello Re: Hi Re: Thank you! Re: Thanks Gwd: Msg reply Gwd: Document Gwd: Incoming message Il corpo del messaggio contiene solo una emoticon: Il file allegato che contiene il worm può avere diverse estensioni, ma il nome può essere solo uno tra i seguenti: "price", "Price", "Joke". Il mittente del messaggio viene scelto a caso dal worm tra quelli che sono stati trovati nel computer infettato. Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione: Themida Nota: Prima di aprire un file compresso, è consigliabile eseguire la scansione su Virus Total Cosa provoca l'infezione? apre una backdoor sulla porta di comunicazione TCP 81 (6777 Bagle.A) (8866 Bagle.B) utilizza un proprio motore SMTP per l'invio di email infette agli indirizzi trovati in specifici file sul sistema rimuove Antivirus e Firewall e/o qualsiasi altro software per la protezione del vostro sistema impedisce l'accesso a qualsiasi eseguibile "Win32 è un applicazione non valida" copia se stesso in tutte le cartelle che contengono la stringa "shar" tenta di scaricare nel sistema, da vari URL, un Trojan Downloader mascherato da immagine JPEG impedisce di avviare in modalità provvisoria (Safe Mode) potrebbe disattivare qualche drivers, come l'audio riavvio continuo del pc con comparsa di schermate blu rallenta la velocità del Pc sovrascrive il file host in modo da impedire l'accesso ai siti che potrebbero fornire aiuto ed i tools di rimozione impedisce l'avvio di alcuni servizi: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Condivisione connessione Internet Come agisce? Una volta infettato il pc, si copia alla seguente posizione: C:\Windows\System32\windspl.exe crea i files hldrrr.exe e mdelk.exe winfilse.exe in C:\windows\system32\drivers oltre alla cartella downld (hldrrr.exe l'unico file visibile nel task manager e nel log di Hijackthis) dopo il riavvio carica il driver srosa.sys wintems.exe scarica altro codice nocivo in %Temp%\~[nome random].exe hidr.exe termina ed elimina processi e servizi della maggior parte dei software di sicurezza carica un kernel-mode driver m_hook.sys, che usa le tecniche di rootkit per nascondere la presenza del worm nel sistema infetto introduce il file wiwshost.exe in sostituzione di explorer.exe *****Tool di rimozione specifici per il worm bagle***** EliBaglA creato da SATINFO è il primo tool di cui si ha notizia specifico per la rimozione del virus BAGLE e delle sue varianti, elimina il processo residente in memoria, i file e le chiavi di registro creati dal virus, e ristabilisce la modalità provvisoria. Scaricate Elibagla sul desktop, disconnettete internet e chiudete l'antivirus Doppio click sull'icona per avviare il programma: (se usate Vista eseguite come amministratore) assicuratevi che la casella Eliminar Ficheros Automaticamente sia spuntata e cliccate su Explorar. Se usate Vista il programma vi chiederà il permesso di controllare alcune cartelle, cliccare su OK Al termine della scansione riavviate il computer, il log con le informazioni di ciò che è stato effettuato lo trovate in C:\InfoSat.txt come conferma il pulsante Salir Se la scansione non dovesse avere successo in modalità normale, va eseguità in modalità provvisoria ******************************************************************************** Beagled è un ottimo bagle remover, creato da sUBs lo stesso autore di Combofix Al termine della scansione riavviate il computer, il log con le informazioni di ciò che è stato effettuato lo trovate in C:\Bagled.txt Nota: non è ancora eseguibile su Vista ******************************************************************************** BagleGUI creato da SOPHOS è un tool specifico per la rimozione di W32/Bagle ***************************************************************************** [/color][/size] FxBeagle Symantec Security Response ha sviluppato uno strumento di rimozione per eliminare le infezioni causate da molte varianti di Beagle Cosa fa lo strumento di rimozione: Interrompe i processi virali di W32.Beagle@mm e di Trojan.Tooso. Elimina i file di W32.Beagle@mm e di Trojan.Tooso. Elimina le voci del Registro di sistema aggiunte da W32.Beagle@mm e di Trojan.Tooso. Nota: Lo strumento ripristina le impostazioni predefinite dei seguenti servizi: Aggiornamenti automatici Avvisi Windows Firewall/Internet Connection Sharing (ICS) ***************************************************************************** FindyKill creato da Chiquitine29 è uno degli ultimi tool reperibili in rete per contrastare la crescita del Bagle. | Info | Tutorial E' in lingua francese e richiede installazione, una volta installato va eseguito in due fasi: 1. Recherche des fichiers infectieux : Ricerca dei file infetti 2. Suppression des fichiers infectieux : Eliminazione dei file infetti Una volta avviata la ricerca, eseguirà una scansione completa del pc, cercando i processi attivi del bagle, estende la ricerca anche alle chiavi del Registro Moutpoint2 dei supporti rimovibili, rileva Crepe / Keygen è in grado di ripristinare la modalità provvisoria, l'opzione dei file nascosti e rilanciare i servizi di sistema terminati dal worm. Cliccate su Suivant per continuare l'installazione Inserite la prima spunta per accettare la licenza e proseguite > Suivant Cliccate su "Si" per destinare una cartella al programma Infine cliccate su Dèmarrer > Quitter per terminare l'installazione. Cercate l'icona del programma sul desktop o in programmi ed eseguitelo Come anticipato dovrete usare prima il tasto 1 (invio) per la ricerca e successivamente il tasto 2 (invio) per la pulizia. Una volta terminata la scansione apparirà questa schermata Il report delle operazioni effettuate lo potete trovare in C:\FindyKill.txt Nota: una volta terminata la pulizia potete disinstallare il programma usando l'opzione 3 3. Desinstaller FindyKill: Disinstallare FindyKill Condividi questo messaggio Link di questo messaggio Condividi su altri siti