• Index
• Tips Windows
• Tools Antimalware
• Pronto Soccorso da LiveCD
• Eliminare il Bagle....
• Forum

Worm BAGLE,il terribile malware con funzioni da rootkit

Da diversi mesi a questa parte sui tutti i forum che parlano di sicurezza informatica nascono richieste di aiuto per problemi causati da questo insidioso e coriace worm.

Và detto che la maggior parte delle infezioni vengono contratte mediante canali P2P, e soprattutto mediante il download di crack, quindi é possibile evitarle.
I sintomi del worm sono molteplici, e sempre piu fastidiosi, ad esempio;

• modalità provvisoria disattivata
• antivirus e firewall non funzionanti
• connessione disabilitata
• molte risorse del sistema inaccessibili
• tools e programmi utili alla sua eradicazione resi innoqui
• aggiunta di driver che provocano schermate blu con l'impossibilità di accedere al sistema
• etc...etc...

Insomma questo worm é sicuramente il malware piu insidioso degli utlimi tempi.

Una breve analisi su come agisce,prendendo in esempio una delle sue tante varianti (Bagle.HX )
Bagle.HX crea un file, in questo caso si chiama HIDR.EXE,e lo colloca in una cartella creata sempre dal worm, in C:\Documents and Settings\%username%\Application Data\hidires

Per assicursi l'avvio ad ogni accensione del sistema, aggiunge le seguenti voci di registro;
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run drvsyskit = %path%\hidr.exe

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run german.exe = %sysdir%\wintems.exe

aggiunge infine il servizio m_hook ,HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ m_hook il quale dà al worm le funzioni da rootkit permettendogli di nascondere file e chiavi di registro.

Vediamo come fare per ritrovare un sistema sano dopo aver contratto il Bagle

Prima un po di storia;
Tempo indietro cercando sul web soluzioni per eradicare questo terribile malware, mi ritrovai su un sito spagnolo che proponeva un tool chiamato ELIBAGLA con l'elenco di molte varianti del bagle in grado di eliminare. Allora senza perdere tempo lo consigliai all'utente infetto dal worm e allo stesso tempo cominciai a testarlo su pc infetti riscontrando subito ottimi risultati, infatti il tool diventato poi famoso e utilizzatissimo, funzionava veramente e funziona tutt'ora.
Con le nuove varianti pero, i creatori del malware fecero in modo che il worm fosse in grado di bypassare il tool,inibendo e bloccandoo anche l'ottimo The Avenger, altro tool usato per eliminare i file infetti dal Bagle. A quel punto si doveva trovare un'altra strada per combattere le varianti sempre piu numerose e ben fatte, ma si doveva soprattutto trovare un sostituto ad Avenger, in quanto ELIBAGLA con i suoi aggiornamenti tornava ad essere efficace anche con le ultime varianti. Dopo qualche giorno di ricerca, trovai l'ottimo OTmoveIt,il quale poteva tranuillamente sostituire Avenger nella procedura di eradicazione del bagle,quindi grazie a questi tool (ormai usati e consigliati da tutti) c'era e c'é la possibilità di ovviare a questo problema. La scoperta di questi tool, fatta dal sottoscritto(nell'ambito italiano), ancora oggi si rivela una delle poche armi contro questo malware, ed ora vedremo come procedere e come usarli.
(ATTENZIONE...non ho citato la scoperta dei due tool per vincere una medaglia, ma solo per togliere i meriti a chi se li é presi in maniera falsa, scrivendo un po ovunque ed in maniera sciocca, falsità e bugie. Quel qualcuno, sappi, che dire la verità,anche su queste piccole cose, é fondamentale nella vita.)

Passiamo alla procedura di rimozione,anche se, sapendo che il bagle si contrae soprattutto scaricando crack su canali P2P,la prevenzione é preferibile.

***********************************************************

Update 14.10.08

Nuovo tool per la lotta al bagle | FindyKill

***********************************************************

Update 24.10.08

Il bagle cambia il suo cavallo di battaglia.
Il file hldrrr.exe viene sostituito da winfilse.exe
(C:\WINDOWS\system32\drivers\winfilse.exe)

Aggiunte anche alcune chiavi nel registro:

• HKEY_CURRENT_USER\Software\CHKPTR
• HKEY_CURRENT_USER\Software\bisoft
• HKEY_CURRENT_USER\Software\FR79732423
• HKEY_CURRENT_USER\Software\FFC

***********************************************************

Update 13.11.08

Nuovo driver e nuove chiavi di registro aggiunte dal bagle

c:\windows\system32\drivers\srosa2.sys

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s

***********************************************************

Comunque una volta infetti procedete in questo modo;

• Scaricate Combofix

Salvatelo sul desktop (importante) e soprattutto evitate di avviarlo con un doppio click.


• Scaricate FindyKill



• Scaricate ELIBAGLA



• Scaricate, installate ed aggiornate MalwareByte's Antimalware



• Scaricate OtMoveIt3 di OldTimer


Per gli utenti con Vista;eseguite solo FindyKill , Elibagla , OtMoveIt3 e MalwareByte's
A questo punto;

* Disconnettetevi completamente da Internet
( modem spento o cavetto scollegato ).

* Disattivate il ripristino configurazione di sistema

* Eseguite FindyKill come spiegato QUI
-------------
* Lanciate adesso Elibagla,spuntate la casella come da esempio

- Disattivate l'antivirus se attivo
- Cliccate su explorar e attendete la fine dello scan
- Verrà creato il log C:/Infosat.txt
-------------
* Con un doppio click avviate OtMoveIt3.exe
- Assicuratevi che la casella "Unregister Dll 's and Ocx's" sia spuntata
- Copiate/Incollate quanto segue nel riquadro di destra "Paste List of Files/Folders to be moved"






• C:\Windows\system32\drivers\srosa2.sys
• C:\WINDOWS\system32\drivers\winfilse.exe
• C:\WINDOWS\system32\drivers\hidr.exe
• C:\WINDOWS\system32\drivers\srosa.sys
• C:\WINDOWS\system32\wintems.exe
• C:\WINDOWS\system32\hldrrr.exe
• C:\WINDOWS\system32\trusted.exe
• C:\WINDOWS\system32\drivers\pci32.sys
• C:\WINDOWS\System32\drivers\m
• C:\WINDOWS\System32\drivers\down
• C:\WINDOWS\system32\drivers\downld
• C:\WINDOWS\system32\re_file.exe
• C:\WINDOWS\system32\drivers\hldrrr.exe
• C:\WINDOWS\system32\drivers\hldrrr.ex_
• C:\WINDOWS\system32\mdelk.exe
• C:\WINDOWS\system32\drivers\mdelk.exe
• C:\WINDOWS\system32\drivers\pci32.sys
• C:\WINDOWS\system32\edlm.exe
• C:\WINDOWS\system32\edlm2.exe
• C:\Windows\system32\ldR64.dll
• C:\WINDOWS\system32\german.exe
• C:\WINDOWS\system32\drivers\srosa.sys.
• C:\WINDOWS\system32\mdelk.exe.
• C:\WINDOWS\system32\wintems.exe.
• C:\WINDOWS\system32\1.exe
• C:\WINDOWS\elist.xpt
• C:\WINDOWS\exefqd
• C:\WINDOWS\exefnd
• C:\WINDOWS\exefld
• C:\WINDOWS\temp
• C:\WINDOWS\Tasks
• C:\Documents and Settings\%username%\Dati applicazioni\hidires\hidr.exe
• C:\Documents and Settings\%username%\Dati applicazioni\hidires\rosa.sys
• C:\Documents and Settings\%username%\Dati applicazioni\m\list.oct
• C:\Documents and Settings\%username%\Dati applicazioni\m\data.oct
• C:\Documents and Settings\%username%\Dati applicazioni\m\flec006.exe
• C:\Documents and Settings\%username%\Dati applicazioni\hidires\m_hook.sys
• C:\Documents and Settings\%username%\Dati applicazioni\hidires
• C:\Documents and Settings\%username%\Dati applicazioni\hidn
• C:\Documents and Settings\%username%\Dati applicazioni\m
• C:\Documents and Settings\%username%\Dati applicazioni\m\srvlist.oct
C:\Documents and Settings\%username%\Dati applicazioni\m\shared
• C:\Documents and Settings\%username%\Impostazioni locali\Temporary Internet Files\Content.IE5
• C:\Documents and Settings\%username%\Impostazioni locali\Temporary Internet Files
• C:\Documents and Settings\%username%\Impostazioni locali\Temp


- Cliccate su OtMoveIt3 per avviare l'eliminazione e accettate il riavvio qualora vi venisse richiesto.
- Il tool creerà un log con i dettagli dell'operazione in C:\ dal nome _OTMoveIt\MovedFiles
La missione di OtMoveIt3 é finita.

NOTA IMPORTANTE_Se all'avvio dei tools dovreste riscontrare l'errore come da immagine ad inizio pagina,come prima operazione eseguite OtMoveIt
-------------
* A questo punto andiamo ad usare Combofix,
- Andate su Start / Esegui e digitate
"%Userprofile%\Desktop\Combofix.exe" /KillAll
Attendere......
NOTA__Durante lo scan sparirà il desktop ed inoltre potrebbe esserci un riavvio del pc.
- Alla fine dell'operazione verrà rilasciato un log con i dettagli alla radice del disco (C:\Combofix.txt)
-------------
* Come ultimo passaggio, aprite MalwareByte's AntiMalware, fate uno scan completo del sistema ed eliminate tutto quello che trova.
-------------
Arrivati a questo punto il bagle dovrebbe essere sparito,ma se cosi non fosse c'é sempre la sezione del forum a disposizione.



Riabilitate il ripristino

Reinstallate i programmi corrotti (l'antivirus per esempio)

Allego i file per;
• ristabilire la connessione (errore 1068) XP e Vista
• riattivare l'opzione dei file nascosti, XP e Vista
• Ristabilire la modalità provvisoria
Cliccate sui link, selezionate tutto il testo,copiatelo in una pagina del bloc notes di windows e salvatelo con l'estensione .reg (es; fix.reg). Fatto questo basterà eseguirlo con un doppio click e accettare l'unione al registro.

Se non riuscite a fare nessuna delle operazioni consigliate sopra in quanto il pc é fermo su una schermata blu causata dal driver srosa.sys, il live cd citato in questa pagina puo salvarvi il sistema ed evitarvi il format.

Non dimenticate che per qualsiasi altra informazione o chiarimento il forum resta a disposizione.
Vai su

Webmaster

© PC-Security | Maurizio Durzini | Design by Andreas Viklund