domenica 8 febbraio 2009

Bagle mi ha colpito...

Photobucket

Oggi l'ho fatta grossa....
Mi sono preso Bagle aprendo un applicativo Hack fuori da Sandboxie...
Il Bagle trojan è un potentissimo eseguibile che circola ultimamente nei programmi di P2P tipo emule o dc++, utilizza sofisticate tecniche di rootkit molto in voga ultimamente, per disattivare antivirus, firewall, antispyware e avvisi di windows.
Un modo semplice per sapere se si è infettati da Bagle è vedere se in "Opzioni cartella" nel "Pannello di controllo" è presente l'opzione "File nascosti", infatti Bagle provvede a disabilitare ed eliminare questa opzione per evitare di essere rintracciato. Inoltre, se si inserisce una chiavetta USB o un'altra scheda di memoria l'icona in "Risorse del computer" cambierà forma, diventando una cartella gialla aperta.
Olre a fare questo mi ha disattivato il Centro Sicurezza e attivato UAC...che era disattivato per lavorare meglio sotto Vista.
Ecco come l'ho eliminato in 2 ore...
Su Vista
Disattivato ripristino configurazione di sistema.
Lanciato UBCD da cd e passati vari tools antispyware e antivirus.
Disinstallazione del Firewall e altri tool di sicurezza bloccati...
Pulizia delle loro tracce sui registri
Reinstallazione degli stessi.
Uso di un "nuovo" Hijackthis rinominato "cipolla".exe...(conviene rinominare gli applicativi di sicurezza con nomi strani..cosi se il rootkit/attivo confronta il database non li intercetta...)
Provato ad eliminare le modifiche con Eliblaga
Ma mi rimanevano ancora delle parti dei registri inquinati..
Uso di FindyKill..ed eliminazione delle restante modifiche..
ES.
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

Pulizia finale con TuneIt e controllo con Kaspersky On Line
Fatta !

2 commenti:

  1. ho risolto in due minuti con bit defender removal tool

    RispondiElimina
  2. Avevo provato a dw ma noscript di firefox mi dava rosso su 3 link.
    Il tempo perso non è su un clik su un eseguibile..ma nella ricerca dei danni fatti su altri programmi corompendo menu e registry
    nel mio caso ben 7.....da disinstallare..pulòire traccie e reinstallare..comunque Grazie
    e Ciao al prossimo virus..
    Sinistrafigura

    RispondiElimina