www.MegaLab.it

Novità con Bagle? (02-05-2008 by crazy.cat)

Dopo che un utente di MegaLab.it ci aveva annunciato l'arrivo di una nuova variante del virus, puntualmente verificatosi, abbiamo voluto studiare le novità di questa versione che, per fortuna, non si è ancora diffusa massicciamente.

Sino ad ora il virus veniva distribuito infettando dei file crack o keygen che venivano condivisi e scambiati nei sistemi di P2P, in questa nuova versione che ho provato, il file è tutto codice virale e si comporta in tutto e per tutto come un downloader di altri file infetti, solo il nome del file è usato per trarre in inganno l'utente.

Un'altra cosa, che non avevo notato sino ad ora, è quella che utilizzando lo stesso file infetto più volte, il virus si collega ad indirizzi diversi e scarica dei file infetti diversi generando ogni volta un nuovo tipo di infezione.

Ho ripetuto l'infezione per tre volte, ottenendo tre risultati diversi, con quella capitata all'utente di MegaLab.it arriviamo a quattro comportamenti completamente diversi con lo stesso file infetto,

Quasi ogni componente del virus è in grado di collegarsi ad Internet e punta sempre ad indirizzi diversi.

Questo è uno dei siti a cui si collega il virus, un normale servizio di hosting file come se ne trovano ormai tanti nel Web.

Il file che genera l'infezione ha ancora l'icona di due spade incrociate su uno scudo, appena lo eseguo, Comodo firewall segnala il tentativo di modificare uno dei programmi attivi in memoria e che si trovano in esecuzione automatica.

Gli altri file infetti hanno il simbolo di un mazzo di chiavi e sono quelli che troviamo nella cartella C:\WINDOWS\system32\drivers\downld

Dato che voglio generare l'infezione lo autorizzo.

Andando poi a vedere il file che aveva attaccato, ha sostituito il file originale prendendone il nome, ma l'icona, le dimensioni e la data sono quelle del file infetto, così ad ogni avvio del PC il virus è sempre attivo in memoria.

A seconda dell'infezione, cambiano anche i file che vanno in esecuzione automatica, a volte si trovano mdelk.exe e Wintems.exe

Gmer, durante una delle mie infezioni rilevava un attività rootkit in alcuni settori dell'hard disk

Lo rimuovo con Gmer

L'utente che mi aveva passato il file infetto per poterlo provare, mi segnalava che Avenger era completamente disabilitato, sia la versione nuova, che quella vecchia non funzionavano, anche Gmer non funzionava segnalando la mancanza di una Dll.

In nessuna delle tre infezioni che ho causato io, ho riscontrato questo genere di problemi.

Dato che non avevo mai provato a rimuovere il virus con Gmer, decido di fare questo tentativo.

Andando nei Services è possibile selezionare il servizio creato dal file infetto srosa e tentare di cancellarlo, in due casi su tre sono riuscito ad eliminarlo.

In un caso non c'è stato niente da fare.

Nessun problema invece per i vari file che compongono il virus, componenti rootkit comprese, cercando nei Files e sfogliando tutte le cartelle dove abbiamo individuato i file infetti, possiamo rimuoverli uno alla volta.

Cosa molto importante è di non dimenticarne neanche uno, altrimenti al primo riavvio del computer l'infezione di rigenererà nuovamente.

Basta selezionare i file infetti e premere Delete per rimuoverli.

Purtroppo con un virus così mutevole e che ad ogni sua nuova uscita diventa sempre più subdolo, è anche più difficile combatterlo.

Nel caso aveste contratto la versione in grado di disabilitare tutti gli strumenti come Avenger e Gmer, l'unico modo per andare a rimuoverlo è di utilizzare un Live CD di boot, come il MegaLab.it CD utility o una distro live di Linux, in grado di avviare il computer per consentire una rimozione manuale dei file infetti.

Per chi ha fretta

Se non volete aspettare l'esecuzione della scansione on-line sul sito Kaspersky, che porta via molte ore, se non giorni, segnalo un altro metodo, non proprio ortodosso e che vi costringerà a reinstallare sicuramente alcuni programmi, ma che mi ha consentito di rimuovere sempre il virus.

Dato che, siano ad ora, viene quasi sempre infettato solo uno dei file presenti in esecuzione automatica, oltre ai file standard che fanno parte del virus stesso, in modo da consentire al virus di essere sempre attivo ad ogni accensione del computer, è possibile decidere di rimuovere tutti i file presenti in esecuzione automatica.

Per sapere quali file eliminare dovete aprire il registro di configurazione (Start - Esegui - Regedit) e portarvi a queste due chiavi di registro

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

E

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Copiate poi i percorsi dei programmi che trovate nella schermata di destra e inseriteli nella lista dei File to delete dello script di Avenger.

Una volta eliminato il virus dovrete reinstallare tutti i programmi a cui appartengono i file che avete rimosso, difficilmente in questa zona avrete dei programmi vitali per il vostro computer, tali da provocarne un blocco quando li rimuovete.

Se avete dei dubbi, chiedete nel forum sicurezza, prima di procedere.

Se non volete rischiare con questo metodo, potete far analizzare i singoli file sul sito Virustotal.com, lo stesso sito dove provare i file prima d'utilizzarli, per scoprire quello infetto ed eliminare solo lui, oppure verificare visivamente se qualche file ha cambiato la data o l'icona come era successo durante la mia infezione precedente.

Questo metodo non rimuove eventuali altri file infetti presenti nel vostro computer ma dovrebbe consentirvi di ripristinare velocemente il vostro antivirus.

Dopo la rimozione di Bagle, seguendo questo metodo, consiglio assolutamente di provare ad installare il Kaspersky Tool antivirus, invece di ricorrere a lunghe scansioni on-line, che non disturberà il vostro antivirus principale e può essere usato in contemporanea ad esso, e di eseguire una scansione completa del vostro disco, in modo da individuare e rimuovere gli altri file infetti sparsi nel vostro computer.