www.MegaLab.it

Dopo un 2006 stressante, funestato dall'invasione di vari rootkit come Gromozon o Trojan.Clicker, che hanno reso la vita impossibile a migliaia di italiani, l'inizio del 2007 non sembra essere più roseo rispetto all'anno precedente.

Per informazioni sull'ultima versione del virus potete consultare questo articolo.

Da un paio di settimane è tornato alla carica uno dei worm più conosciuti e diffusi: Bagle, conosciuto anche come Tooso, Mitglieder o Beagle.

Col passare degli anni, questo worm si è evoluto in numerose varianti, alcune delle quali hanno adottato la tecnica di rootkit, che ultimamente va tanto di moda. L'unico comportamento rimasto invariato nel tempo consiste nel disattivare i software di sicurezza, quali antivirus, antispyware o firewall.

Non ci sono notizie certe sul modo di propagazione più diffuso di questa variante del Bagle, ma, secondo alcune osservazioni personali, direi che il worm sta abbandonando le vie di propagazione attraverso la posta elettronica, preferendo sempre di più quelle del peer-to-peer.

Dopo essersi insediato nel sistema, esso esegue la ricerca delle cartelle con la stringa "shar" nel nome, e vi si copia con nomi "appetitosi".

Informazioni tecniche

Una volta eseguito il file infetto, Bagle si installa come:

%System%\hldrrr.exe - l'unico file visibile nel task manager e nel log di HijackThis.

%System%\wintems.exe - si tratta di trojan.downloader, che provvede a scaricare un altro codice nocivo da Internet.

%UserProfile%\Dati applicazioni\hidires\hidr.exe - termina ed elimina processi e servizi della maggior parte dei software di sicurezza.

Carica un kernel-mode driver m_hook.sys, che usa le tecniche di rootkit per nascondere la presenza del worm nel sistema infetto:

%UserProfile%\Dati applicazioni\hidires\m_hook.sys

Scarica dalla rete altri file nocivi nella cartella dei file temporanei:

%Temp%\~[nome random].exe

Crea la cartella exefld con all'interno i vari file .exe dai nomi random:

%Windir%\exefld\[nome random].exe

Note:

• %System% è la variabile che indica la cartella di sistema; di default, questa cartella si trova su questo percorso C:\Windows\System\ (Windows 95/98/Me), C:\Winnt\System32\ (Windows NT/2000), C:\Windows\System32\ (Windows XP).
• %Windir% è una variabile che indica la cartella di installazione di Windows. Di default, questa cartella è C:\Windows (Windows 95/98/Me/XP)o C:\Winnt\ (Windows NT/2000).
• %SystemDrive% è una variabile che indica l'unità su cui è installato Windows. Di default, questa è l'unità C:\.
• %UserProfile% è una variabile che indica l'attuale cartella di profilo dell'utente. Per l'impostazione predefinita, questa è C:\Documents and Settings\<Utente corrente>\ (Windows NT/2000/XP).
• %Temp% è la variabile che indica la cartella dei file temporanei. Di default, questa è C:\Documents and Settings\<Utente corrente>\Impostazioni locali\Temp\.

A questo punto, vengono terminati e disattivati i processi di quasi tutti i software di sicurezza conosciuti, per impedire l'esecuzione dei programmi per la pulizia del sistema. Tra altro, il worm può sovrascrivere il file host in modo da impedire l'accesso ai siti che potrebbero fornire aiuto ed i tool di rimozione.

Quindi, il worm cerca il processo explorer.exe e vi si introduce con il file wiwshost.exe. Tutte le azioni successive richieste da wiwshost.exe verranno interpretate come richieste da explorer.exe.

Successivamente, vengono modificati i seguenti valori del registro, per impedire l'avvio di alcuni servizi quali Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).

1. [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
2. Nuovovalore:
3. "Start"=dword: 00000004
4. [HKLM\SYSTEM\CurrentControlSet\Services\Alerter]
5. Nuovovalore:
6. "Start"=dword: 00000004
7. [HKLM\SYSTEM\CurrentControlSet\Services\Ndisuio]
8. Nuovovalore:
9. "Start"=dword: 00000004
10. [HKLM\SYSTEM\CurrentControlSet\ServicesShared\Access]
11. Nuovovalore:
12. "Start"=dword: 00000004
13. [HKLM\SYSTEM\CurrentControlSet\Services\wzcsvc]
14. Nuovovalore:
15. "Start"=dword: 00000004

[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv] Nuovo valore: "Start"=dword:00000004 [HKLM\SYSTEM\CurrentControlSet\Services\Alerter] Nuovo valore: "Start"=dword:00000004 [HKLM\SYSTEM\CurrentControlSet\Services\Ndisuio] Nuovo valore: "Start"=dword:00000004 [HKLM\SYSTEM\CurrentControlSet\ServicesShared\Access] Nuovo valore: "Start"=dword:00000004 [HKLM\SYSTEM\CurrentControlSet\Services\wzcsvc] Nuovo valore: "Start"=dword:00000004

Le seguenti chiavi, con tutte le sottochiavi ed i valori compresi, vengono eliminate per impedire l'avvio del sistema in modalità provvisoria:

[HKLM\SYSTEM\CurrentControlSet\Control\Safeboot]

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]

Si garantisce l'avvio automatico ad ogni boot di sistema, inserendo nel registro questi valori:

1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
2. "drvsyskit"="%UserProfile%\Datiapplicazioni\hidires\hidr.exe"
3. "german.exe"="%System%\wintems.exe"
4. "hldrrr"="%System%\hldrrr.exe"
5. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
6. "hldrrr"="%System%\hldrrr.exe"
7. [HKEY_CURRENT_USER\Software\DateTime4]
8. "port"="0x5B7E"
9. "uid"="[nomerandom]"
10. "wdrn"="0x01"
11. [HKCU\Software\FirstRRRun]
12. "FirstRR1232Run"="dword: 00000001"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit" = "%UserProfile%\Dati applicazioni\hidires\hidr.exe" "german.exe" = "%System%\wintems.exe" "hldrrr" = "%System%\hldrrr.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "hldrrr" = "%System%\hldrrr.exe" [HKEY_CURRENT_USER\Software\DateTime4] "port" = "0x5B7E" "uid" = "[nome random]" "wdrn" = "0x01" [HKCU\Software\FirstRRRun] "FirstRR1232Run"="dword:00000001"

Inoltre, nel registro vengono create queste chiavi, per caricare il servizio m_hook e permettere l'avvio del rootkit:

1. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
2. "Tape"=1
3. "Start"=3
4. "ErrorControl"=0
5. "ImagePath"=\?? \%UserProfile%\Datiapplicazioni\hidires\m_hook.sys
6. "DisplayName"=Empty
7. [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Security]
8. "Security"=%valoriesadecimali%
9. [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Enum]
10. "0"="Root\LEGACY_M_HOOK\000"
11. "Count"=dword: 00000001
12. "NextInstance"=dword: 00000001
13. [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]
14. "NextInstance"=dword: 00000001
15. [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000]
16. "Service"="m_hook"
17. "Legacy"=dword: 00000001
18. "ConfigFlags"=dword: 00000000
19. "Class"="LegacyDriver"
20. "ClassGUID"=" {8ECC055D-047F-11D1-A537-0000F8753ED1} "
21. "DeviceDesc"="Empty"
22. [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\
23. Control]
24. "*NewlyCreated*"=dword: 00000000
25. "ActiveService"="m_hook"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook] "Tape" = 1 "Start" = 3 "ErrorControl" = 0 "ImagePath" = \??\%UserProfile%\Dati applicazioni\hidires\m_hook.sys " DisplayName" = Empty [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Security] "Security"=%valori esadecimali% [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Enum] "0"="Root\LEGACY_M_HOOK\000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK] "NextInstance"=dword:00000001 [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000] "Service"="m_hook" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="Empty" [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\ Control] "*NewlyCreated*"=dword:00000000 "ActiveService"="m_hook"