reclutamento e organizzazione per Gruppo di Lavoro - Guida per disinfettare da Bagle

[Bugs Bunny]

Persone che hanno già contribuito:
Lancetta
Riverside
Chill-Out
Bugs Bunny

Stato attuale del post( con tutte le modifiche suggerite e le istruzioni inserite dal "team anti-bagle" )

AVVISO: AL FINE DI MANTENERE LA DISCUSSIONE PIU' ORDINATA,I RAPPORTI ED I LOGFILE CARICATELI SU http://www.zshare.net/ E POSTATE IL LINK


Come si propaga e come agisce questo malware?
Principalmente si propaga tramite le reti peer to peer (p2p) come emule,ma anche via email. Lo si può trovare spesso in archivi contenenti programmi e crack.
Una volta eseguito il suo file(molto spesso si chiamava trusted.exe) crea vari files(eseguibili e drivers) ,principalmente localizzati nella directory di windows.
Uno di essi, hidr.exe che nelle prime varianti si trovava in Documents and settings/nomeutente/dati applicazioni/hidires(cartella creata dal malware) e nelle ultime si posiziona in /windows/system32,ha la funzione di terminare e cancellare tutti gli eseguibili di software di sicurezza come antivirus.

Inoltre questo malware,modificando 2 chiavi di registro, disabilita la modalità provvisoria,per cui tentando di accedere a windows in safe mode si ricevera una bella schermata blu

Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si
possono visualizzare tramite esplora risorse.

Come vedere se si è infetti:
- I programmi di sicurezza sono stati cancellati
- La modalità provvisoria non funziona
- Una scansione con gmer evidenzia files in rosso come hidr.exe(che è presente in tutte le varianti)

Procedura di rimozione.

1) disattivazione ripristino conf di sys:

● tasto destro del mouse sull'icona Risorse del Computer
● seleziona la voce Proprietà
● apri la scheda Ripristino configurazione di Sistema
● spunta la voce Disattiva ripristino configurazione di sistema
● conferma, la modifica, con Applica e, poi Ok

2) Utilizzo di elibagla (remover tool spagnolo): dopo essere andati su QUESTA scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt
Usate Elibagla in modalità provvisoria,se funziona.

3)Usare avenger: DOWNLOAD
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" 2 volte ;il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

Quote:

Files to delete:
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\m\data.oct
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\m\flec006.exe

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%SystemDrive%:\Documents and Settings\%UserProfile%\Dati applicazioni\hidires

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa

Nel caso si abbiano problemi con questo script,sostituire a %SystemDrive% la lettera del disco dove è installato il sistema operativo infetto e a %UserProfile% il nome utente

4)Scansione con Panda Antirootkit (DOWNLOAD)
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

5)Passata con ccleaner (scaricarlo da QUI e dopo averlo installato disattivare dalle opzioni avanzate "cancella solo file più vecchi di 48 ore". Quindi cliccare su Avvia CCleaner>OK )

6)Fare un log di hijackthis per altro controllo ed eventuali file orfani.
(il log di hijackthis va fatto con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricarlo da QUI.E' stand alone (senza installazione).Metterlo in una sua cartella dedicata, avviarlo, dalla schermata clik su "do a system scan and save a logfile" si aprirà una schermata txt con dei dati, copiare ed incollare nel post....
La prima volta che lo si avvia bisogna cliccare su "I agree" prima di "Do a system scan and save logfile"



Possibili problemi:

Sebbene abbia rimosso il virus non mi funziona la modalità provvisoria...
1) Sei sicuro di aver usato Elibagla?(punto 2)

Il virus non è stato rimosso dopo aver eseguito i passaggi indicati... come mai?
Possibilità:
1) Non hai disattivato ripristino configurazione di sistema
2) E' stato lanciato nuovamente l'eseguibile infetto
3) Non hai seguito tutti i passaggi

Se il problema si annida fra le possibilità sopra riportate, ripetere tutte le operazioni.


Se il problema non è fra le possibilità,seguire le seguenti istruzioni:

-Postare un log di gmer (DOWNLOAD):
una volta aperto il programma cliccare su scan e aspettare la fine delle operazioni. Riportare eventuali voci in rosso rilevati.
-Fare una scansione online QUI ed allegare il rapporto della scansione.

[xcdegasp]

Apro questo thread per darvi modo di reclutare e organizzarvi al fine di proporre un metodo di disinfezione dal worm Bagle e stilare di conseguenza la Guida che verrà posta in rilievo nella sezione "Aiuto sono infetto! Cosa faccio?" .

A lavoro ultimato questo thread potrà rimanere sempre aperto cosichè abbiate esigenza di rivedere la guida o proporre migliorie o inglobare nuove variante potrete farlo senza difficoltà e senza nuovi thread

Sono sicuro che perterà a risultati positivi.

[Bugs Bunny]

mentre postavo un messaggio rivisto mi hai spostato l'altro

[lancetta]

aggiungo: lo si può ricevere anche tramite mail...(le prime varianti che sono ancora in giro )dopo essere sicuri di essere infettati dal bagle usare prima di tutto
1) elibagla (remover tool spagnolo) http://www.zonavirus.com/datos/desca...5/elibagla.asp scorrere a fondo pagina e cliccare su "descargar elibagla"
Assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata,dopo la scansione riavviare il pc e postare il log che si trova in: C:\InfoSat.txt. da postare per il controllo.
Nelle ultime varianti aggiungo nella procedura di usarlo in modalità provvisoria.

2)Usare avenger:spiegazione:da qua http://swandog46.geekstogo.com/avenger.zip
Scompattarlo, avviarlo, selezionare "Input script manually" e cliccare sulla lente d'ingrandimento. Nella nuova finestra, incollare lo script che viene indicato cliccare sul pulsante "Done",cliccare sull'icona di semaforo verde rispondere "yes" ,il pc dovrebbe riavviarsi da solo se così non fosse, riavvialro manualmente.
Al riavvio del sistema verrà visualizzato il log in c:\avenger.txt da postare per il controllo.

3)scansione con Panda Antirootkit
decomprimere il file Zip, sul desktop
eseguirlo(da amministratore del pc) stando connessi, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

4)oltre la passata con ccleaner (scaricare da ( QUI)disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" )

5)anche un log di hijackthis per altro controllo ed eventuali file orfani.
(log di hijackthis con più applicazioni possibili chiuse(emule,bit torrent,word,wmplayer ecc..)scaricarlo da QUI LINK è stand alone (senza installazione)metterlo in una sua cartella dedicata, avviarlo, dalla schermata clik su "do a system scan and save a logfile" si aprirà una schermata txt con dei dati, copiare ed incollare nel post....

[xcdegasp]

Quote:

Originariamente inviato da Bugs Bunny

mentre postavo un messaggio rivisto mi hai spostato l'altro

si scusami non telo avevo detto nell'altro thread... sorry

[Bugs Bunny]

ok ho integrato le istruzioni di lancetta

[lancetta]

Quote:

Originariamente inviato da Bugs Bunny

ok ho integrato le istruzioni di lancetta

Hum.....Bugs... mi piace sembra che stia già venendo sù bene

Edit: Bugs..fratello...edita nella voce ccleaner il "QUI" con il link e di lato ai paragrafi correggi la numerazione dei passaggi,per favore.
Grazie.

[Bugs Bunny]

come va ora?

[lancetta]

Quote:

Originariamente inviato da Bugs Bunny

come va ora?

Ottimo fratello !!! prende corpo

[Bugs Bunny]

vediamo cosa dice riverside

[Riverside]

@ Bunny & Lancetta, vedo che vi siete messi al lavoro

Quote:

Originariamente inviato da Bugs Bunny

vediamo cosa dice riverside

Bunny, raggruppa il tuo post e quello di Lancetta in uno unico, lavorando sul tuo.

[Bugs Bunny]

Quote:

Originariamente inviato da Riverside

Bunny, raggruppa il tuo post e quello di Lancetta in uno unico, lavorando sul tuo.

non l'ho già fatto?

[Riverside]

Quote:

Originariamente inviato da Bugs Bunny

non l'ho già fatto?

Manca il link diretto a Panda Antirootkit, se non sbaglio.

[Bugs Bunny]

inserito

[Chill-Out]

@Bugs

Per quanto riguarda lo script da inserire in Avenger si potrebbere aggiungere queste due specifiche in caso di problemi con lo script stesso
- sostituire a %SystemDrive% la lettera del disco (o partizione) dove è installato Windows
- sostituire a %UserProfile% col nome del vostro account (vostro nome utente)
se ritieni apportuno ciao.

[Bugs Bunny]

giusto

[Bugs Bunny]

Io proporrei ancora un giorno di lavoro,per raccogliere modifiche e aggiunte... che ne dite?

[Riverside]

@ Bunny

Direi di aggiungere GMer qui per il download
da utilizzare dopo EliBaglA, per individuare il resto dell'infezione, precisando di eseguire le scansioni delle sezioni Autostart e Rootkit.
Richiedere la pubblicazione del log.

E una preventiva scansione online da eseguire da
KASPERSKY ONLINE SCANNER: Kaspersky online scanner
Anche qui pubblicare il log che verrà rilasciato al termine della scansione

[Bugs Bunny]

io penso che si potrebbe richiedere la pubblicazione del log dopo aver provato elibagla e avenger,o per essere sicuri di aver tolto tutto, o perchè nè uno nè l'altro sono riusciti a rimuovere l'infezione

[Riverside]

Quote:

Originariamente inviato da Bugs Bunny

Io proporrei ancora un giorno di lavoro,per raccogliere modifiche e aggiunte... che ne dite?

Direi che siamo quasi a posto Bunny:
i software ed i tool necessari, li abbiamo indicati tutti;
lo script da eseguire, anche;
tu aggiungi alla bozza tutto quel poco che resta da aggiungere (non credo manchi più nulla) poi sistemiamo la Guida in maniera definitiva.