Bagle è un malware che si propaga facilmente ed in particolare tramite le reti p2p come emule, dove lo si può trovare sottoforma di archivi contenenti programmi e crack. Una volta eseguito (solitamente si chiama trusted.exe), esso crea diversi eseguibile e drivers, posizionandoli nelle principali directory di windows. Questo virus è purtroppo in costante crescita e aggiornamento, e nelle sue ultime versioni posiziona il file mdelk.exe in C:/Windows/System32 e questo file cancella e disabilita tutti gli eseguibili di software di sicurezza come il centro sicurezza di windows e i vari antivirus. Il resto dei file di questo malware sono nascoste tramite rootkit, ossia una tecnologia software in grado di occultare la propria presenza all’interno del sistema operativo, quindi tali file non si possono visualizzare tramite esplora risorse. Come detto, quando si viene infettati da tale malware i programmi di sicurezza vengono cancellati e disabilitati e quando si tenta di avviare il software antivirus compare un avviso con scritto che il file che si sta tentando di aprire “non è un’applicazione Win32 valida”. Inoltre la modalità provvisoria non funziona in quanto, modificando due chiavi di registro, impedisce l’accesso a windows in modalità safe facendo comparire una schermata blu.

Per rimuovere Bagle e disinfettarsi completamente seguite alla lettera le seguenti indicazioni:

• Per prima cosa dovete disattivare il ripristino configurazione del sistema andando su Pannello di Controllo –> Sistema –> Ripristino configurazione di Sistema –> mettere la spunta a Disattiva ripristino configurazione del sistema –> cliccare su Applice e poi su Ok.
• Scaricate Safeboot cliccando qui e importate il file .reg;
• Successivamente scaricate il programma Eligaba, programma di rimozione bagle spagnolo, cliccando qui e fare un scansione del pc. Dopodichè riavviate il pc.
• Poi dovete scaricare l’antivirus kaspersky cliccando qui ed eseguire anche in questo caso una scansione del pc e dopo riavviarlo.
• A questo punto scaricate il software avenger cliccando qui ed una volta scaricato ed avviato basterà inserire lo script scritto qui sotto e cliccare su Execute.

Files to delete:
%UserProfile%\DATI APPLICAZIONI\M\LIST.OCT
%SystemDrive%\WINDOWS\SYSTEM32\BAN_LIST.TXT
%SystemDrive%\WINDOWS\system32\drivers\hidr.exe
%SystemDrive%\WINDOWS\system32\drivers\srosa.sys
%SystemDrive%\WINDOWS\system32\wintems.exe
%SystemDrive%\WINDOWS\system32\hldrrr.exe
%SystemDrive%\WINDOWS\system32\trusted.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%UserProfile%\Dati applicazioni\hidires\hidr.exe
%UserProfile%\Dati applicazioni\hidires\rosa.sys
%UserProfile%\Dati applicazioni\m\data.oct
%UserProfile%\Dati applicazioni\m\flec006.exe
%UserProfile%\Dati applicazioni\hidires\m_hook.sys
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.exe
%SystemDrive%\WINDOWS\system32\drivers\hldrrr.ex_
%SystemDrive%\WINDOWS\system32\mdelk.exe
%SystemDrive%\WINDOWS\system32\drivers\pci32.sys
%SystemDrive%\WINDOWS\SYSTEM32\EDLM.EXE
%SystemDrive%\WINDOWS\SYSTEM32\EDLM2.EXE
%SystemDrive%\Windows\system32\LDR64.DLL
%SystemDrive%\WINDOWS\system32\german.exe
C:\WINDOWS\system32\drivers\srosa.sys.XXX
C:\WINDOWS\system32\mdelk.exe.XXX
C:\WINDOWS\system32\wintems.exe.XXX
%UserProfile%\Application Data\hidn\hidn.exe

folders to delete:
%SystemDrive%\WINDOWS\exefnd
%SystemDrive%\WINDOWS\exefld
%UserProfile%\Dati applicazioni\hidires
%SystemDrive%\WINDOWS\System32\drivers\down\

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64
HKCU\Software\FirstRuxzx

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | drvsyskit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | german.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run | drv_st_key

A questo punto il pc si riavvierà e successivamente il software eseguirà i comandi immessi.

• Fatto ciò scaricate il tool xptcprep cliccando qui e installatelo e eseguite la riparazione dei regitri TCP/IP.
• Scansionate il vostro hard-disk con CCleaner che potete scaricare cliccando qui e eliminerete eventuali file orfani presenti sul pc.
• Infine per riattivare i servizi terminati da Bagle andate su Start–>Esegui–>scrivete SERVICES.MSC e cliccate su Ok–>abilitare i seguenti servizi se risultano disattivati: Avvisi; Centro Sicurezza PC; Aggiornamenti automatici; Connessione di Rete; Zero Configuration reti senza fili; Windows Firewall/ Condivisione connessione Internet (ICS).
• Se avete problemi nella visualizzazione di gestione periferiche o se la visualizzazione di risorse del computer è molto lenta avviate e incollate nella finestra che si aprirà i seguenti comandi:

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry keys to delete:
HKEY_LOCAL_MACHINE\system\ControlSet003\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32

Folders to delete:
C:\windows\temp
C:\WINDOWS\Tasks
C:\WINDOWS\exefqd

files to delete:
c:\windows\system32\hlpuybtr.exe
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\hidrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\pci32.sys

drivers to unload:
srosa
pci32

Poi cliccate su Execute.

• Se riscontrate problemi nell’avviare windows scaricate questo tool e masterizzate l’ISO su un cd e avviate il computer con il cd. Se non riuscite a risolvere tramite quel tool scaricate Ultimate Boot CD 4.1.1 cliccando qui e masterizzate l’iso su un cd e avviate il pc con il cd dentro.

Fatto tutto ciò dovrete aver risolto il problema e aver eliminato il malware Bagle.

*Questo post, come tutti quelli presenti sul blog, è di proprietà |Omnia Blog|, vietata la copia.