www.MegaLab.it

Sono ormai molti anni che il worm Bagle ci tormenta, spargendo periodicamente la sua infezione attraverso le reti del P2P.

Le basi e i metodi dell'infezione sono rimaste sempre più o meno le stesse. Cambia il nome dei file infetti, c'è qualche nuova funzione di Windows disabilitata, sono invece molto cambiati i metodi per rimuovere l'infezione, i creatori del virus si sono fatti sempre più furbi arrivando a disabilitare, o danneggiare, tutti i software di protezione (firewall, antivirus, antispyware) e i vari tool utilizzati per scoprire e rimuovere il virus (come HijackThis, Gmer, The avenger).

La nuova variante del famigerato virus Bagle, che si diffonde in questi primi giorni dell'anno attraverso le reti del P2P, presenta qualche novità rispetto alle versioni che avevo visto in precedenza, un nuovo file eseguibile winupgro.exe che avvia l'attacco ed esegue le funzioni di downloader per il resto del malware che compone l'infezione, un doppio driver, srosa.sys e srosa2.sys, e in generale una maggiore difficoltà nella rimozione.

Quelli che vedete nella foto sono alcuni esempi dei file che avviano l'infezione, la data e il nome del file cambiano, la dimensione è di 841 kB e l'icona è quella di una chiave con la sua ombra appena più sotto.

Il file che avvia l'infezione non viene ancora riconosciuto da tutti gli antivirus.