www.MegaLab.it

Rimozione

Ora che abbiamo scoperto quasi tutti file e le voci del registro infetti, ci resta un solo problema: per eliminare Bagle non possiamo usare nessun antivirus. A questo punto, ci viene in aiuto The Avenger, un potente strumento progettato per l'eliminazione manuale dei virus più insidiosi.

• Per prima cosa, assicuratevi di disabilitare il Ripristino Configurazione di Sistema
• Scaricate The Avenger ed estraete l'archivio sul desktop
• Avviate il file Avenger.exe
• Selezionate l'opzione Input Script Manually
• Cliccate sulla lente di ingrandimento e, all'interno del form, incollate lo script precedentemente preparato

  (Se non siete molto pratici, sul forum potete chiedere ad uno dei nostri esperti di esaminare i log di Gmer e di indicare lo script da eseguire con The Avenger)

• Chiudete il form cliccando sul pulsante Done
• Cliccate sull'icona di semaforo verde e rispondete Si alle domande successive

Il PC dovrebbe riavviarsi da solo. Se così non fosse, riavviatelo manualmente.

Al riavvio del sistema verrà visualizzato il log con l'esito dell'operazione.

Composizione dello script generico per Avenger

Dopo aver esaminato i vari casi d'infezione con il worm Bagle, posso dire che questa variante di Bagle si comporta in modo quasi identico su tutti computer, pertanto è possibile creare uno script generico per tutti, modificando soltanto le variabili. Dovete sostituire %SystemDriver% con l'unità d'installazione del sistema operativo, di regola è la C, e %UserProfile% con il nome del vostro account utente. Per scoprire questo nome basta che andate nella cartella C:\Documents and Settings\ oppure quardate il percorso della cartella hidires nel log di Gmer.

I primi due script riguardano le vecchie versioni del virus, non utilizzateli più, proseguite la lettura e usate quello dell'update 14 agosto.

Files to delete: %SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\m_hook.sys %SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe %SystemDrive%:\WINDOWS\system32\wintems.exe %SystemDrive%:\WINDOWS\system32\hldrrr.exe folders to delete: %SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires %SystemDrive%:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\m_hook HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

Questo è lo script per la seconda variante del virus che ha cominciato a diffondersi da Giugno-Luglio 2007.

N.B. Non tutte le voci potrebbero essere presenti, dai log che sono arrivati, sembra che esistono almeno due o tre varianti del virus.

Files to delete: %SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe %SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys %SystemDrive%:\WINDOWS\system32\wintems.exe %SystemDrive%:\WINDOWS\system32\hldrrr.exe folders to delete: %SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires %SystemDrive%:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\rosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrr

Il 14 agosto 2007 è uscita una nuova variante del virus, prestate attenzione ad un file chiamato trusted.exe che si trova nelle reti del P2P, ha un icona con una chiave ed una serratura, prima di scaricare ed utilizzare un file del genere, fatelo analizzare sul sito di virustotal, come qualsiasi altro file di dubbia natura.

Se avete ancora problemi, ne parliamo in questa discussione.

Files to delete: %SystemDrive%\WINDOWS\system32\drivers\hidr.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys %SystemDrive%\WINDOWS\system32\wintems.exe %SystemDrive%\WINDOWS\system32\hldrrr.exe %SystemDrive%\WINDOWS\system32\trusted.exe %SystemDrive%\WINDOWS\system32\drivers\pci32.sys folders to delete: %SystemDrive%\WINDOWS\exefnd %SystemDrive%\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

In caso ci fossero problemi con lo script precedente, sostituite a %SystemDrive% la lettera del disco dove avete installato la vostra copia di Windows, ed eventualmente cambiate anche il nome della cartella di installazione (in Windows 2000 si chiama Winnt per fare un esempio).

Lo script diventerebbe in questo caso

Files to delete: C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\trusted.exe C:\WINDOWS\system32\drivers\pci32.sys folders to delete: C:\WINDOWS\exefnd C:\WINDOWS\exefld registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

Controllate poi nella cartella

C: \Documents and Settings\NomeVostroAccount\Dati applicazioni\Impostazioni locali\Temp\

E cancellate tutti i file ~*.exe e *.tmp non è possibile inserirli nello script in quanto assumono sempre nomi casuali.