www.MegaLab.it

La nuova versione del virus 08-01-2008

Nuovo pesante attacco del virus, sopratutto sulle reti di eMule, qualche novità importante, il virus non è più solo, ma durante l'infezione va a scaricare da alcuni siti una serie di file infetti dal Trojan-PSW.Win32.LdPinch.ewq.

Questi file sono degli eseguibili, rinominati in Jpg e si trovano nelle cartelle dei temporanei di Internet explorer.

In alcune varianti è stato spostato di cartella il rootkit hldrrr.exe, adesso lo trovate in Windows\system32\drivers\ mentre prima era in Windows\system32, c'è anche una nuova cartella contenente file infetti Windows\system32\drivers\down.

Gli effetti finali del virus rimangono sempre gli stessi, disattivazione di alcune funzioni di Windows e scomparsa dei programmi di sicurezza con l'impossibilità di reinstallarli.

Posso solo ricordarvi nuovamente di controllare i file di dubbia provenienza sul sito di Virustotal.com prima di aprirli e utilizzarli.

Le istruzioni presenti in questa pagina, utili per sistemare il resto dei problemi causati dal virus (come la modalità provvisoria o le reti Wireless non funzionanti) rimangono sempre valide.

Dai report che ci inviate, vediamo che l'infezione colpisce numerosi file, a caso, nel computer, lo script generico usato con le prime varianti del virus, non basta più, la rimozione manuale di alcuni file e sopratutto di parte delle chiavi nel registro ha provocato spesso delle schermate blu e dei crash di Windows.

Prima di procedere disattivate il ripristino della configurazione e riavviate il PC.

Andate sul sito della Kaspersky ed eseguite la scansione online di tutti i vostri dischi fissi.

La scansione può richiedere molte ore ma è l'unico modo per sapere dove si trovano i file infetti e preparare lo script adatto per rimuoverli.

I log di Gmer o HijackThis non servono, li richiediamo noi solo in casi particolari.

Premete Accept, prestate attenzione che questa schermata può ripetersi più volte durante l'inizio della scansione.

In Windows 2000 appare la richiesta di installare un componente per eseguire la scansione, mettete il flag nella casella Considera sempre attendibile il contenuto di Kaspersky Lab e premete Sì.

Mentre su Windows XP appare la richiesta di installare un controllo ActiveX

A questo punto può ritornare alla prima schermata dove dovete premere Accept nuovamente.

Nuovo avviso per installare il componente necessario per la scansione, premete Installa.

Parte il download delle definizioni più aggiornate, a seconda dell'orario e di quante cose dovete scaricare, può impiegare parecchi minuti.

Se rifate la scansione dopo qualche giorno, il download delle definizioni sarà inferiore e quindi diminuirà anche il tempo da rimanere online.

Premete Next quando ha terminato il download.

Scegliete My computers, se volete controllare tutti i dischi fissi del vostro computer, oppure Folders se volete controllare una sola partizione.

Eseguite il controllo completo del disco fisso, il virus si può nascondere ovunque.

Se non volete rimanere collegati ad Internet per tante ore senza antivirus, una volta scaricati tutti gli aggiornamenti e avviata la scansione su tutti i vostri dischi fissi, potete anche scollegarvi dalla rete e lasciare terminare il controllo off-line

Una volta conclusa la scansione, premete Save Report As e salvate il file in formato HTML

Nella parte alta trovate il numero di virus presenti nel vostro PC e, cosa più importante, il numero di file infetti.

Non fate altro che selezionare il testo, direttamente dalla pagina HTML, che ho evidenziato in rosso e aggiungerlo allo script da dare a The avenger, con un semplice copia e incolla.

Ripete questa operazione per tutti i file infetti del report di Kaspersky, indipendentemente del tipo di variante di Bagle che li ha infettati, dimenticare un file infetto vuol dire che al riavvio del PC, l'infezione si propagherà nuovamente a tutto il PC.

Nel report di Kaspersky non è detto che sia sempre visibile il rootkit che si nasconde nella cartella C: \Windows\system32\drivers\ includetelo lo stesso nello script.

Controllate che non siano infetti documenti personali o file importanti di sistema, quelli vanno trattati in maniera differente, non includeteli subito nello script, o chiedete conferma prima di procedere alla loro eliminazione.

Qui sotto trovate lo script generico per avanger, guardando la foto inserita in precedenza, bisogna aggiungere ai File to delete nello script, queste due righe

C: \APPS\SMP\SMPSYS.EXE

D: \Documents and Settings\pat\Dati applicazioni\m\flec006.exe

Files to delete: %SystemDrive%\WINDOWS\system32\drivers\hidr.exe %SystemDrive%\WINDOWS\system32\drivers\srosa.sys %SystemDrive%\WINDOWS\system32\wintems.exe %SystemDrive%\WINDOWS\system32\hldrrr.exe %SystemDrive%\WINDOWS\system32\trusted.exe %SystemDrive%\WINDOWS\system32\drivers\pci32.sys %SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe folders to delete: %SystemDrive%\WINDOWS\exefnd %SystemDrive%\WINDOWS\exefld %SystemDrive%\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA HKLM\SYSTEM\CurrentControlSet\Services\pci32 HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32

In caso ci fossero problemi con lo script precedente, sostituite a %SystemDrive% la lettera del disco dove avete installato la vostra copia di Windows, ed eventualmente cambiate anche il nome della cartella di installazione (in Windows 2000 si chiama Winnt per fare un esempio).

Lo script diventerebbe in questo caso

Files to delete: C:\WINDOWS\system32\drivers\hidr.exe C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\hldrrr.exe C:\WINDOWS\system32\trusted.exe C:\WINDOWS\system32\drivers\pci32.sys C:\WINDOWS\system32\drivers\hldrrr.exe folders to delete: C:\WINDOWS\system32\drivers\down registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Altri due file infetti da aggiungere allo script, li trovate in questa cartella, a Vostronomeutente dovete sostituire il vostro account di Windows.

C:\Documents and Settings\Vostronomeutente\Dati applicazioni\m\data.oct C:\Documents and Settings\Vostronomeutente\Dati applicazioni\m\flec006.exe

A seconda della variante del virus, non tutti i file segnalati in precedenza potrebbero essere presenti.

Se avete dei dubbi nel costruire il vostro script, aprite una discussione nella sezione sicurezza, allegando il report della scansione di Kaspersky, comprimetelo e allegatelo alla discussione usando la funzione Carica un file che trovate nella discussione stessa.

Leggete gli articoli per sapere come fare le varie scansioni e postare poi i log.

Gmer -- HijackThis -- The Avenger

Dopo il riavvio del PC controllate nel file txt che si apre in automatico che i file siano stati cancellati e provate a reinstallare l'antivirus.

La cartella di backup di Avenger che si trova nel disco C: \ la potete cancellare dopo aver verificato che il virus sia stato rimosso e che il PC funzioni bene.