Punto informatico Network
Canali
20080829222609

Bagle: un worm che attacca gli antivirus

16/01/2007
- A cura di
Archivio - L'antivirus non funziona? Il firewall non riparte? Non potete installare alcun programma di sicurezza, né tantomeno riavviare il computer in modalità provvisoria? La colpa è del worm Bagle.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

worm (1) , antivirus (1) , bagle (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 1072 voti

Rimozione

Ora che abbiamo scoperto quasi tutti file e le voci del registro infetti, ci resta un solo problema: per eliminare Bagle non possiamo usare nessun antivirus. A questo punto, ci viene in aiuto The Avenger, un potente strumento progettato per l'eliminazione manuale dei virus più insidiosi.

A1.jpg

  • Per prima cosa, assicuratevi di disabilitare il Ripristino Configurazione di Sistema
  • Scaricate The Avenger ed estraete l'archivio sul desktop
  • Avviate il file Avenger.exe
  • Selezionate l'opzione Input Script Manually
  • Cliccate sulla lente di ingrandimento e, all'interno del form, incollate lo script precedentemente preparato

    (Se non siete molto pratici, sul forum potete chiedere ad uno dei nostri esperti di esaminare i log di Gmer e di indicare lo script da eseguire con The Avenger)

  • Chiudete il form cliccando sul pulsante Done
  • Cliccate sull'icona di semaforo verde e rispondete Si alle domande successive

Il PC dovrebbe riavviarsi da solo. Se così non fosse, riavviatelo manualmente.

Al riavvio del sistema verrà visualizzato il log con l'esito dell'operazione.

Composizione dello script generico per Avenger

Dopo aver esaminato i vari casi d'infezione con il worm Bagle, posso dire che questa variante di Bagle si comporta in modo quasi identico su tutti computer, pertanto è possibile creare uno script generico per tutti, modificando soltanto le variabili. Dovete sostituire %SystemDriver% con l'unità d'installazione del sistema operativo, di regola è la C, e %UserProfile% con il nome del vostro account utente. Per scoprire questo nome basta che andate nella cartella C:\Documents and Settings\ oppure quardate il percorso della cartella hidires nel log di Gmer.

I primi due script riguardano le vecchie versioni del virus, non utilizzateli più, proseguite la lettura e usate quello dell'update 14 agosto.

Questo è lo script per la seconda variante del virus che ha cominciato a diffondersi da Giugno-Luglio 2007.

N.B. Non tutte le voci potrebbero essere presenti, dai log che sono arrivati, sembra che esistono almeno due o tre varianti del virus.

Il 14 agosto 2007 è uscita una nuova variante del virus, prestate attenzione ad un file chiamato trusted.exe che si trova nelle reti del P2P, ha un icona con una chiave ed una serratura, prima di scaricare ed utilizzare un file del genere, fatelo analizzare sul sito di virustotal, come qualsiasi altro file di dubbia natura.

Se avete ancora problemi, ne parliamo in questa discussione.

In caso ci fossero problemi con lo script precedente, sostituite a %SystemDrive% la lettera del disco dove avete installato la vostra copia di Windows, ed eventualmente cambiate anche il nome della cartella di installazione (in Windows 2000 si chiama Winnt per fare un esempio).

Lo script diventerebbe in questo caso

Controllate poi nella cartella

C: \Documents and Settings\NomeVostroAccount\Dati applicazioni\Impostazioni locali\Temp\

E cancellate tutti i file ~*.exe e *.tmp non è possibile inserirli nello script in quanto assumono sempre nomi casuali.

Pagina successiva
Cenni finali e Conclusione
Pagina precedente
Rilevamento del worm

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    © Copyright 2019 BlazeMedia srl - P. IVA 14742231005

    • Gen. pagina: 0.26 sec.
    •  | Utenti conn.: 50
    •  | Revisione 2.0.1
    •  | Numero query: 53
    •  | Tempo totale query: 0.1