Punto informatico Network

Canali
20080829222609

Bagle: un worm che attacca gli antivirus

16/01/2007
- A cura di
Archivio - L'antivirus non funziona? Il firewall non riparte? Non potete installare alcun programma di sicurezza, né tantomeno riavviare il computer in modalità provvisoria? La colpa è del worm Bagle.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

worm (1) , antivirus (1) , bagle (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 1072 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Dopo un 2006 stressante, funestato dall'invasione di vari rootkit come Gromozon o Trojan.Clicker, che hanno reso la vita impossibile a migliaia di italiani, l'inizio del 2007 non sembra essere più roseo rispetto all'anno precedente.

Per informazioni sull'ultima versione del virus potete consultare questo articolo.

Da un paio di settimane è tornato alla carica uno dei worm più conosciuti e diffusi: Bagle, conosciuto anche come Tooso, Mitglieder o Beagle.

Col passare degli anni, questo worm si è evoluto in numerose varianti, alcune delle quali hanno adottato la tecnica di rootkit, che ultimamente va tanto di moda. L'unico comportamento rimasto invariato nel tempo consiste nel disattivare i software di sicurezza, quali antivirus, antispyware o firewall.

Non ci sono notizie certe sul modo di propagazione più diffuso di questa variante del Bagle, ma, secondo alcune osservazioni personali, direi che il worm sta abbandonando le vie di propagazione attraverso la posta elettronica, preferendo sempre di più quelle del peer-to-peer.

Dopo essersi insediato nel sistema, esso esegue la ricerca delle cartelle con la stringa "shar" nel nome, e vi si copia con nomi "appetitosi".

Informazioni tecniche

Una volta eseguito il file infetto, Bagle si installa come:

%System%\hldrrr.exe - l'unico file visibile nel task manager e nel log di HijackThis.

Hldrrr2.jpg

%System%\wintems.exe - si tratta di trojan.downloader, che provvede a scaricare un altro codice nocivo da Internet.

Win.te.ms.jpg

%UserProfile%\Dati applicazioni\hidires\hidr.exe - termina ed elimina processi e servizi della maggior parte dei software di sicurezza.

H1.jpg

Carica un kernel-mode driver m_hook.sys, che usa le tecniche di rootkit per nascondere la presenza del worm nel sistema infetto:

%UserProfile%\Dati applicazioni\hidires\m_hook.sys

Mh.jpg

Scarica dalla rete altri file nocivi nella cartella dei file temporanei:

%Temp%\~[nome random].exe

File2.temp.jpg

Crea la cartella exefld con all'interno i vari file .exe dai nomi random:

%Windir%\exefld\[nome random].exe

Exefld.jpg

Note:

  • %System% è la variabile che indica la cartella di sistema; di default, questa cartella si trova su questo percorso C:\Windows\System\ (Windows 95/98/Me), C:\Winnt\System32\ (Windows NT/2000), C:\Windows\System32\ (Windows XP).
  • %Windir% è una variabile che indica la cartella di installazione di Windows. Di default, questa cartella è C:\Windows (Windows 95/98/Me/XP)o C:\Winnt\ (Windows NT/2000).
  • %SystemDrive% è una variabile che indica l'unità su cui è installato Windows. Di default, questa è l'unità C:\.
  • %UserProfile% è una variabile che indica l'attuale cartella di profilo dell'utente. Per l'impostazione predefinita, questa è C:\Documents and Settings\<Utente corrente>\ (Windows NT/2000/XP).
  • %Temp% è la variabile che indica la cartella dei file temporanei. Di default, questa è C:\Documents and Settings\<Utente corrente>\Impostazioni locali\Temp\.

A questo punto, vengono terminati e disattivati i processi di quasi tutti i software di sicurezza conosciuti, per impedire l'esecuzione dei programmi per la pulizia del sistema. Tra altro, il worm può sovrascrivere il file host in modo da impedire l'accesso ai siti che potrebbero fornire aiuto ed i tool di rimozione.

Quindi, il worm cerca il processo explorer.exe e vi si introduce con il file wiwshost.exe. Tutte le azioni successive richieste da wiwshost.exe verranno interpretate come richieste da explorer.exe.

Successivamente, vengono modificati i seguenti valori del registro, per impedire l'avvio di alcuni servizi quali Avvisi, Centro sicurezza PC, Aggiornamenti automatici, Connessioni di rete, Zero Configuration reti senza fili e Windows Firewall/ Condivisione connessione Internet (ICS).

view plaincopy to clipboardprint?
  1. [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
  2. Nuovovalore:
  3. "Start"=dword: 00000004
  4. [HKLM\SYSTEM\CurrentControlSet\Services\Alerter]
  5. Nuovovalore:
  6. "Start"=dword: 00000004
  7. [HKLM\SYSTEM\CurrentControlSet\Services\Ndisuio]
  8. Nuovovalore:
  9. "Start"=dword: 00000004
  10. [HKLM\SYSTEM\CurrentControlSet\ServicesShared\Access]
  11. Nuovovalore:
  12. "Start"=dword: 00000004
  13. [HKLM\SYSTEM\CurrentControlSet\Services\wzcsvc]
  14. Nuovovalore:
  15. "Start"=dword: 00000004

Le seguenti chiavi, con tutte le sottochiavi ed i valori compresi, vengono eliminate per impedire l'avvio del sistema in modalità provvisoria:

[HKLM\SYSTEM\CurrentControlSet\Control\Safeboot]

[HKLM\SYSTEM\ControlSet001\Control\SafeBoot]

Si garantisce l'avvio automatico ad ogni boot di sistema, inserendo nel registro questi valori:

view plaincopy to clipboardprint?
  1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  2. "drvsyskit"="%UserProfile%\Datiapplicazioni\hidires\hidr.exe"
  3. "german.exe"="%System%\wintems.exe"
  4. "hldrrr"="%System%\hldrrr.exe"
  5. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  6. "hldrrr"="%System%\hldrrr.exe"
  7. [HKEY_CURRENT_USER\Software\DateTime4]
  8. "port"="0x5B7E"
  9. "uid"="[nomerandom]"
  10. "wdrn"="0x01"
  11. [HKCU\Software\FirstRRRun]
  12. "FirstRR1232Run"="dword: 00000001"

Inoltre, nel registro vengono create queste chiavi, per caricare il servizio m_hook e permettere l'avvio del rootkit:

view plaincopy to clipboardprint?
  1. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\m_hook]
  2. "Tape"=1
  3. "Start"=3
  4. "ErrorControl"=0
  5. "ImagePath"=\?? \%UserProfile%\Datiapplicazioni\hidires\m_hook.sys
  6. "DisplayName"=Empty
  7. [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Security]
  8. "Security"=%valoriesadecimali%
  9. [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Enum]
  10. "0"="Root\LEGACY_M_HOOK\000"
  11. "Count"=dword: 00000001
  12. "NextInstance"=dword: 00000001
  13. [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]
  14. "NextInstance"=dword: 00000001
  15. [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000]
  16. "Service"="m_hook"
  17. "Legacy"=dword: 00000001
  18. "ConfigFlags"=dword: 00000000
  19. "Class"="LegacyDriver"
  20. "ClassGUID"=" {8ECC055D-047F-11D1-A537-0000F8753ED1} "
  21. "DeviceDesc"="Empty"
  22. [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\
  23. Control]
  24. "*NewlyCreated*"=dword: 00000000
  25. "ActiveService"="m_hook"

Pagina successiva
Rilevamento del worm

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.36 sec.
    •  | Utenti conn.: 115
    •  | Revisione 2.0.1
    •  | Numero query: 29
    •  | Tempo totale query: 0.22