I-Worm W32\Bagle.OH, OJ, KJ

[jake.afc]

Salve a tutti.
Devo dire che colui che ha programmato questa variante del beagle è tanto genio quanto stronzo. E sicuramente è l'uomo più stronzo della terra, visto che questo è il virus più bastardo che mi sia capitato di vedere.

Mi sono accorto della sua presenza quando ho notato che erano spariti gli eseguibili di McafeeVirusScan. Inoltre giocando online ogni 2 minuti per qualche secondo il gioco scattav a 5FPS con ping a 5000. Pensavo fosse un problema di grafica, finchpè tracciando il netstat ho scoperto che c'è un processo che tenta di comunicare con l'esterno. Non ho dato peso alla cosa, pensavo fossero le connessioni ai server di gioco.

Oggi ho disinstallato Mcafee e scaricato AVG free, faccio per installarlo e l'installer dà errore. Installo spybot SD e l'eseguibile sparisce. Provo a copiarlo da un altro pc, cambiando di nome; se invece il nome resta spybotsd.exe viene immediatamente cancellato. Stesso discorso per update.exe sempre di spybot. Mi informo un po' e vedo che moltro probabilmente ho la variante KJ di sto * di bagle, non posso installare nessun antivirus.
Inoltre ha disattivato il security center di XP e il windows firewall.

Mi ha creato nella cartella document-settings/utente/dati-applicazioni la cartella HIDN, che contiene
HIDN2.EXE
HLDRRR.EXE
M_HOOK.SYS
Tutti questi file sono nascosti, si possono accedere solo tramite cmd.
hidn2.exe dà accesso negato, gli altri si cancellano, ma si rigenerano al riavvio o alla connessione ad internet.
Oltretutto ha inserito un macello di chiavi sul registro, che fanno riferimento a questi file, oltre ad altri due che ora non ricordo, ma che non sono presenti in questa cartella. In HKLM/.../run mi sembra tutto regolare.

Se provo ad entrare in modalità provvisoria il sistema si riavvia.

Con netstat ho visto che si connette a server come:
smtp.mail.ru:25
free.vel.pl:80
nsp-pd1.interbusiness.it:domain
catu.broadband.hu:80
bitel.ru:80
ftp-dom.earthlink.net:80
83.149.65.33:80
195.149.226.62:80 ecc.

ho copiato i file per analizzarli, m_hook contiene anche i nomi degli eseguibili da eliminare. Li ho esaminati con avg 7.5 su un altro pc e dice che si tratta di I-Worm W32\Bagle.OH, il m_hook è variante OJ.
http://www.jake-afc.net/hosted/uploader/files/bagle.jpg
I sintomi sono simili a quelli segnalati dalla symantec per la variante FF
http://www.symantec.com/region/it/[email protected]

Ho scaricato un removal che si chiama CleanBG.exe (CleanBagle) v.6.6: è affidabile? Ho il terrore che rimuovendo i file in questione il sistema si rifiuti di avviarsi, visto che in modalità provvisoria si resetta perchè i file non sono caricati. Altrimenti a sto punto pensavo di cacciar su un floppy d'avvio ed eliminare a mano la directory, ma poi avrei il registro devastato. Ah, manco a dirlo, RegCleaner non parte. La scansione con lo stinger Mcafee non è servita a nulla, come quella con Spybot e AdAware...

Che fare?
Veramente bastardo sto virus. Complimenti a quella grandissima testa di * che l'ha fatto. Mille megatoni di cattiveria in 50kb di eseguibile.
Tengo a precisare che non l'ho scaricato, si è installato da solo (avevo mcafee fuori licenza, non aggiornato da un pezzo...).
Fortuna che è un virus "latente" che "non fa danni" (apparentemente) apparte rompere quando gioco online. Ma veramente mi ha fatto girare i cosiddetti, perchè io, tecnico informatico, sono stato fregato da sto bastardo.

Scusate lo sfogo, ma proprio non ci sto più con la testa!

[wizard1993]

Quote:

Originariamente inviato da jake.afc

Salve a tutti.
Devo dire che colui che ha programmato questa variante del beagle è tanto genio quanto stronzo. E sicuramente è l'uomo più stronzo della terra, visto che questo è il virus più bastardo che mi sia capitato di vedere.

Mi sono accorto della sua presenza quando ho notato che erano spariti gli eseguibili di McafeeVirusScan. Inoltre giocando online ogni 2 minuti per qualche secondo il gioco scattav a 5FPS con ping a 5000. Pensavo fosse un problema di grafica, finchpè tracciando il netstat ho scoperto che c'è un processo che tenta di comunicare con l'esterno. Non ho dato peso alla cosa, pensavo fossero le connessioni ai server di gioco.

Oggi ho disinstallato Mcafee e scaricato AVG free, faccio per installarlo e l'installer dà errore. Installo spybot SD e l'eseguibile sparisce. Provo a copiarlo da un altro pc, cambiando di nome; se invece il nome resta spybotsd.exe viene immediatamente cancellato. Stesso discorso per update.exe sempre di spybot. Mi informo un po' e vedo che moltro probabilmente ho la variante KJ di sto * di bagle, non posso installare nessun antivirus.
Inoltre ha disattivato il security center di XP e il windows firewall.

Mi ha creato nella cartella document-settings/utente/dati-applicazioni la cartella HIDN, che contiene
HIDN2.EXE
HLDRRR.EXE
M_HOOK.SYS
Tutti questi file sono nascosti, si possono accedere solo tramite cmd.
hidn2.exe dà accesso negato, gli altri si cancellano, ma si rigenerano al riavvio o alla connessione ad internet.
Oltretutto ha inserito un macello di chiavi sul registro, che fanno riferimento a questi file, oltre ad altri due che ora non ricordo, ma che non sono presenti in questa cartella. In HKLM/.../run mi sembra tutto regolare.

Se provo ad entrare in modalità provvisoria il sistema si riavvia.

Con netstat ho visto che si connette a server come:
smtp.mail.ru:25
free.vel.pl:80
nsp-pd1.interbusiness.it:domain
catu.broadband.hu:80
bitel.ru:80
ftp-dom.earthlink.net:80
83.149.65.33:80
195.149.226.62:80 ecc.

ho copiato i file per analizzarli, m_hook contiene anche i nomi degli eseguibili da eliminare. Li ho esaminati con avg 7.5 su un altro pc e dice che si tratta di I-Worm W32\Bagle.OH, il m_hook è variante OJ.
http://www.jake-afc.net/hosted/uploader/files/bagle.jpg
I sintomi sono simili a quelli segnalati dalla symantec per la variante FF
http://www.symantec.com/region/it/[email protected]

Ho scaricato un removal che si chiama CleanBG.exe (CleanBagle) v.6.6: è affidabile? Ho il terrore che rimuovendo i file in questione il sistema si rifiuti di avviarsi, visto che in modalità provvisoria si resetta perchè i file non sono caricati. Altrimenti a sto punto pensavo di cacciar su un floppy d'avvio ed eliminare a mano la directory, ma poi avrei il registro devastato. Ah, manco a dirlo, RegCleaner non parte. La scansione con lo stinger Mcafee non è servita a nulla, come quella con Spybot e AdAware...

Che fare?
Veramente bastardo sto virus. Complimenti a quella grandissima testa di * che l'ha fatto. Mille megatoni di cattiveria in 50kb di eseguibile.
Tengo a precisare che non l'ho scaricato, si è installato da solo (avevo mcafee fuori licenza, non aggiornato da un pezzo...).
Fortuna che è un virus "latente" che "non fa danni" (apparentemente) apparte rompere quando gioco online. Ma veramente mi ha fatto girare i cosiddetti, perchè io, tecnico informatico, sono stato fregato da sto bastardo.

Scusate lo sfogo, ma proprio non ci sto più con la testa!

io farei così, creerei un cd di avvio con l'av di kaspersky e mcafee e farei una scan out windows

[bReAkDoWn]

Per avere un'idea dello stato del tuo sistema, e intervenire miratamente puoi postare un log fatto con hijackthis qua: http://www.hwupgrade.it/forum/showthread.php?p=14655418 qualcuno ti suggerirà il da farsi.

[wizard1993]

Quote:

Originariamente inviato da bReAkDoWn

Per avere un'idea dello stato del tuo sistema, e intervenire miratamente puoi postare un log fatto con hijackthis qua: http://www.hwupgrade.it/forum/showthread.php?p=14655418 qualcuno ti suggerirà il da farsi.

anche

[amd-novello]

ti sono solidale guarda. cmq una guida c'è in giro e qui la postano continuamente

http://www.megalab.it/articoli.php?id=948&

[jake.afc]

Caspita finalmente una guida come si deve... se google me l'avesse fatta vedere subito...
Grazie mille, e mille accidenti al Bagle.