www.MegaLab.it

La nuova versione del virus 15-05-2008 by Ste_95

Alla data odierna Bagle incontra un nuovo cambiamento, il rootkit che nasconde i componenti dell'infezione è stato ampiamente potenziato e la cartella m situata in %UserProfile%\Dati Applicazioni è ormai un componente fisso dell'infezione.

In questa nuova variante tutti i file infetti vengono nascosti dal rootkit srosa.sys che inizia a compiere il suo lavoro già dal momento in cui viene creato. Nelle precedenti varianti del virus era necessario un riavvio del computer affinché tutto funzionasse, e i soli file nascosti erano mdelk.exe, hldrrr.exe, srosa.sys e wintems.exe, le cartelle downld e m e altri eventuali file infetti, erano visibili all'utente.

Se prima la scansione online con Kaspersky era in grado di rilevare i file nascosti dal rootkit, ora neanch'essa ne è in grado. Fortunatamente le false immagini infette non vengono nascoste, motivo per cui Kaspersky è in grado di riconoscerle.

Oltre a rendere inutilizzabili HijackThis e Avenger, il virus inibisce la maggior parte dei software antirootkit, l'unico che continua a funzionare anche nella nuova variante del virus è l'Anti-rootkit di F-Secure. Anche RogueRemover viene inibito, anche se non capisco a quale scopo. Come nella precedente versione, anche KillBox e ComboFix vengono resi inutilizzabili. Bagle riesce ora a bloccare anche il tool Kaspersky che risolse il problema a molte persone affette da Bagle.

Per The Avenger c'è comunque da fare un discorso più approfondito, visto che MegaLab.it ha conosciuto ben 4 versioni di Avenger:

• The Avenger V1: questa versione è stata inibita già da tempo.
• The Avenger V1 Modificata: questa versione sembra rimanere funzionante anche nelle ultime varianti del virus in circolazione.
• The Avenger V2: seppur nuova, nell'ultima variante del virus, appena il tool viene aperto viene richiuso.
• The Avenger V2 Modificata: come V1 Modificata, rimane funzionante anche per gli utenti di Windows Vista.

Nella cartella Dati Applicazioni situata nella cartella del profilo utente di Windows viene ora creata una cartella di nome m nella quale sono memorizzati flec006.exe (Eseguito all'avvio del sistema), data.oct e altri due file legati a esso, (Che contiene i nomi degli archivi che verranno creati in Shared), list.oct (Che contiene i nomi degli archivi) e svrlist.oct. All'interno della cartella m, troviamo ancora una nuova cartella shared nella quale sono presenti ben 76 MB di archivi infetti contenti Bagle che verranno poi spediti per posta ai destinatari della rubrica del proprio client di posta elettronica. La cartella ha l'attributo di nascosto.

La nuova variante non è più rappresentata da spade e scudi, ma da una croce medica rossa simile alla seguente:

Rimozione

La rimozione non differisce molto dalle precedenti versioni, se non per il fatto della nuova cartella m.

Quindi, per prima cosa è necessario eseguire la scansione online con Kaspersky per identificare le false immagini infette dal virus.

Possiamo usare una delle due versioni modificate di Avenger per rimuovere il virus utilizzando lo script seguente:

Files to delete: C:\WINDOWS\system32\drivers\srosa.sys C:\WINDOWS\system32\wintems.exe C:\WINDOWS\system32\drivers\hldrrr.exe C:\WINDOWS\system32\mdelk.exe C:\WINDOWS\system32\drivers\mdelk.exe folders to delete: C:\WINDOWS\system32\drivers\downld %UserProfile%\Dati Applicazioni\m registry keys to delete: HKLM\SYSTEM\CurrentControlSet\Services\srosa HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA

Allo script dobbiamo naturalmente aggiungere i file infetti derivanti dal risultato della scansione online con Kaspersky.

In alternativa, possiamo utilizzare il MegaLabCD cancellando i file infetti a uno a uno manualmente utilizzando l'esplora risorse A43 o effettuando una scansione con AntiVir.