Accedi per seguire   
Seguaci 0
$angelique!?

Bagle: Procedure Di Rimozione

1 messaggio in questa discussione

Bagle: il terribile worm

Cos'è?

Bagle conosciuto anche come Tooso, Mitglieder o Beagle è un worm scritto in Assembly molto pericoloso ed in continuo sviluppo che colpisce tutti i sistemi Windows.

I ceppi e le varianti sono infinite e vengono classificate con delle lettere: .a, .aa, .ah, .ai, .al, .an, .ao, .as, .at, .au, .ax, .ay, .b, .bb, .bj, .bn, .bo, .c, .cc, .ch, .cl, .cy, .d, .da, .dx, .e, .eb, .ef, .eg, .ek, .f, .fb, .fj, .fm, .fy, .gm, .gt, .i, .j, .k, .l, .m, .n, .p, .q, .r, .s, .t, .y

Nel gennaio del 2004, fu identificato il primo ceppo Bagle.A a febbraio il secondo ceppo molto più pericoloso Bagle.B

Da allora il worm ha subito delle metamorfosi, continuando ad essere in cima alle liste delle minacce più diffuse stilate dalle maggiori società antivirali, infettando milioni di Pc.

Nelle varianti da .GE (2006) in poi, Bagle ha perfezionato le tecniche di rootkit, caricando un driver kernel-mode per occultare ai software di sicurezza i suoi processi e chiavi di registro e altri malware correlati, rendendo più difficoltosa la rimozione.

Gli autori di Bagle hanno sfruttato il loro worm per popolare e controllare una serie di botnet da usare in attacchi spam e denial-of-service distribuiti. Le diverse varianti mantengono un complesso network di macchine infette e vengono usate normalmente per aiutare le nuove versioni a diffondersi ed evitare il rilevamento.

F-Secure ha messo online

che rappresenta il funzionamento della variante W32/Bagle.AG@mm

Come si propaga?

Nelle reti di file-sharing (eMule, Torrent) sotto Forma di exe, insinuandosi nei file scaricati da altri utenti, sopratutto nei crack dei software, all'interno di un archivio compresso, come zip o rar.

Via e-mail, ecco alcuni esempi,

Oggetto:

  • Re:
  • Re: Hello
  • Re: Hi
  • Re: Thank you!
  • Re: Thanks :)
  • Gwd: Msg reply
  • Gwd: Document
  • Gwd: Incoming message

Il corpo del messaggio contiene solo una emoticon: :P

Il file allegato che contiene il worm può avere diverse estensioni, ma il nome può essere solo uno tra i seguenti: "price", "Price", "Joke".

Il mittente del messaggio viene scelto a caso dal worm tra quelli che sono stati trovati nel computer infettato.

Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione: Themida

Nota: Prima di aprire un file compresso, è consigliabile eseguire la scansione su Virus Total

Cosa provoca l'infezione?

  • apre una backdoor sulla porta di comunicazione TCP 81 (6777 Bagle.A) (8866 Bagle.B)
  • utilizza un proprio motore SMTP per l'invio di email infette agli indirizzi trovati in specifici file sul sistema
  • rimuove Antivirus e Firewall e/o qualsiasi altro software per la protezione del vostro sistema
  • impedisce l'accesso a qualsiasi eseguibile "Win32 è un applicazione non valida"
  • copia se stesso in tutte le cartelle che contengono la stringa "shar"
  • tenta di scaricare nel sistema, da vari URL, un Trojan Downloader mascherato da immagine JPEG
  • impedisce di avviare in modalità provvisoria (Safe Mode)
  • potrebbe disattivare qualche drivers, come l'audio
  • riavvio continuo del pc con comparsa di schermate blu
  • rallenta la velocità del Pc
  • sovrascrive il file host in modo da impedire l'accesso ai siti che potrebbero fornire aiuto ed i tools di rimozione
  • impedisce l'avvio di alcuni servizi: Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Condivisione connessione Internet

Come agisce?

Una volta infettato il pc, si copia alla seguente posizione: C:\Windows\System32\windspl.exe

  • crea i files hldrrr.exe e mdelk.exe winfilse.exe in C:\windows\system32\drivers oltre alla cartella downld (hldrrr.exe l'unico file visibile nel task manager e nel log di Hijackthis)
  • dopo il riavvio carica il driver srosa.sys
  • wintems.exe scarica altro codice nocivo in %Temp%\~[nome random].exe
  • hidr.exe termina ed elimina processi e servizi della maggior parte dei software di sicurezza
  • carica un kernel-mode driver m_hook.sys, che usa le tecniche di rootkit per nascondere la presenza del worm nel sistema infetto
  • introduce il file wiwshost.exe in sostituzione di explorer.exe

*****Tool di rimozione specifici per il worm bagle*****

exeod3.jpg

EliBaglA creato da SATINFO è il primo tool di cui si ha notizia specifico per la rimozione del virus BAGLE e delle sue varianti,

elimina il processo residente in memoria, i file e le chiavi di registro creati dal virus, e ristabilisce la modalità provvisoria.

elibaglefr3.jpg

Scaricate Elibagla sul desktop, disconnettete internet e chiudete l'antivirus

Doppio click sull'icona per avviare il programma:

(se usate Vista eseguite come amministratore)

sgphoto20081016185635xh5.jpg

assicuratevi che la casella Eliminar Ficheros Automaticamente sia spuntata e cliccate su Explorar.

Se usate Vista il programma vi chiederà il permesso di controllare alcune cartelle, cliccare su OK

Al termine della scansione riavviate il computer,

il log con le informazioni di ciò che è stato effettuato lo trovate in C:\InfoSat.txt come conferma il pulsante Salir

Se la scansione non dovesse avere successo in modalità normale, va eseguità in modalità provvisoria

********************************************************************************

beagledimgnl7.jpg

Beagled è un ottimo bagle remover, creato da sUBs lo stesso autore di Combofix

sgphoto20081016185049qx0.jpg

Al termine della scansione riavviate il computer,

il log con le informazioni di ciò che è stato effettuato lo trovate in C:\Bagled.txt

Nota: non è ancora eseguibile su Vista

soxv5.jpg

********************************************************************************

sgphoto20081016185138ya1.jpg

BagleGUI creato da SOPHOS è un tool specifico per la rimozione di W32/Bagle

sgphoto20081016183827vl1.jpg

sgphoto20081016183836sm4.jpg

sgphoto20081016183852vp3.jpg

*****************************************************************************

[/color][/size]fxbaglewu1.jpg

FxBeagle Symantec Security Response ha sviluppato uno strumento di rimozione per eliminare le infezioni causate da molte varianti di Beagle

Cosa fa lo strumento di rimozione:

  1. Interrompe i processi virali di W32.Beagle@mm e di Trojan.Tooso.
  2. Elimina i file di W32.Beagle@mm e di Trojan.Tooso.
  3. Elimina le voci del Registro di sistema aggiunte da W32.Beagle@mm e di Trojan.Tooso.

Nota: Lo strumento ripristina le impostazioni predefinite dei seguenti servizi:

    • Aggiornamenti automatici
    • Avvisi
    • Windows Firewall/Internet Connection Sharing (ICS)

sgphoto20081016184626qc6.jpg

*****************************************************************************

findikillio3.jpg

FindyKill creato da Chiquitine29 è uno degli ultimi tool reperibili in rete per contrastare la crescita del Bagle. | Info | Tutorial

E' in lingua francese e richiede installazione, una volta installato va eseguito in due fasi:

1. Recherche des fichiers infectieux : Ricerca dei file infetti

2. Suppression des fichiers infectieux : Eliminazione dei file infetti

Una volta avviata la ricerca, eseguirà una scansione completa del pc, cercando i processi attivi del bagle,

estende la ricerca anche alle chiavi del Registro Moutpoint2 dei supporti rimovibili, rileva Crepe / Keygen

è in grado di ripristinare la modalità provvisoria, l'opzione dei file nascosti e rilanciare i servizi di sistema terminati dal worm.

sgphoto20081021145407rq3.jpg

Cliccate su Suivant per continuare l'installazione

sgphoto20081021145436sk8.jpg

Inserite la prima spunta per accettare la licenza e proseguite > Suivant

sgphoto20081021145453pt0.jpg

Cliccate su "Si" per destinare una cartella al programma

Infine cliccate su Dèmarrer > Quitter per terminare l'installazione.

Cercate l'icona del programma sul desktop o in programmi ed eseguitelo

sgphoto20081021145551cd3.jpg

Come anticipato dovrete usare prima il tasto 1 (invio) per la ricerca e successivamente il tasto 2 (invio) per la pulizia.

Una volta terminata la scansione apparirà questa schermata

sgphoto20081021145618yj4.jpg

Il report delle operazioni effettuate lo potete trovare in C:\FindyKill.txt

Nota: una volta terminata la pulizia potete disinstallare il programma usando l'opzione 3

3. Desinstaller FindyKill: Disinstallare FindyKill

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
Ospite
Questa discussione è chiusa.
Accedi per seguire   
Seguaci 0