www.MegaLab.it

Nuova variante virus 09-06-2008 by Ste_95

Una nuova variante di Bagle si diffonde attraerso Internet, seppur con cambiamenti minori.

La novità forse più importante è il fatto che anche le versioni modificate di HijackThis e di Avenger (V1 e V2) vengono ora bloccate dal rootkit, che restituisce il solito messaggio d'errore, e in questi giorni questo problema ha causato problemi a parecchie persone.

Abbiamo quindi realizzato un'altra "variante" delle due applicazioni, che ho avuto la possibilità di testare solo su XP. Anche con l'ultima variante del malware, le ultime versioni modificate di HijackThis e Avenger V2 possono ancora, fortunatamente, funzionare.

Il file mdelk.exe situato nella cartella \Windows\System32\drivers ha ora l'attributo di nascosto, ma il file rimane comunque nella medesima cartella e con lo stesso nome.

Sono queste le novità dell'ultima variante di Bagle, ma oggi vogliamo proporre una nuova variante di rimozione, che per adesso è sicuramente la più sicura, ma non la più semplice.

Rimozione

Ribadisco che utilizzare Avenger per rimuovere Bagle è sicuramente la via più semplice, purtroppo si sono presentati casi in cui Avenger non è stato in grado di rimuovere il rootkit. Lo script che va utilizzato per rimuovere Bagle da un sistema infetto rimane lo stesso, visto che non sono comparsi file nuovi.

L'alternativa alla quale poco fa accennavo si chiama SDTrestore. Prima di utilizzare un programma, è meglio impiegare qualche minuto per leggere le poche righe che la pagina sopra riportata spiega. Non è un passaggio necessario alla rimozione, ma ve lo consiglio affinché sappiate quello che state facendo.

Scarichiamo da questo indirizzo SDTrestore, ed estraiamo l'archivio compresso in un cartella a nostra scelta nella root della partizione di sistema (Es: Il sistema è in C:\WINDOWS --> Root: C:\.

Dopo di chè, aprite una Prompt DOS (Start --> Esegui... --> cmd). Utilizzate il comando CD per spostarvi nella cartella nella quale avevate estratto SDTrestore. Se per esempio la cartella si chiama SDTrestore, il comando sarà questo:

cd C:\SDTrestore

Fatto questo, dobbiamo eseguire il file SDTrestore.exe, per farlo utilizziamo il comando DOS start:

start SDTrestore.exe

Si aprirà per qualche istante un'altra finestra DOS, e ora inziaino i cambimenti.

SDTrestore ha in pratica disabilitato il rootkit, lasciandolo attivo in memoria. In questo modo, saremo in grado di terminare i processi del malware non più rootkit anche dal task manager, e a questo punto eliminarli dalla cartella drivers con un semplice Canc. Riscaricando ora Avenger, HijackThis e il proprio antivirus, saremo in grado di utilizzarli senza che ci venga restituito il messaggio di Applicazione WIN32 Non Valida.

Purtroppo la compatibilità di SDTrestore parte da Windows 2000 e si ferma a Windows XP, per Vista siamo costretti a usare Avenger o, nel peggiore dei casi, il MegaLabCD.

Per la risoluzione dei problemi permanenti anche dopo la rimozione (Modalità provvisoria, Reti senza fili ecc) potete guardare questa pagina.