Trojan Downloader Bagle
Questa settimana mi sono imbattuto su un PC di un amico in questo virus e dato che considero l’ultimo rimedio la formattazione ho cercato di combatterlo ed ho vinto!
Posto queste informazioni perchè ho pensato possano essere di aiuto ad altri che si imbatteranno in questo pericolosissimo virus che agisce in modo veramente malefico:
-Blocca qualsiasi antivirus che avete sul PC.
-Modifica chiavi di registro disabilita la modalità provvisoria, e disabilita la visualizzazione delle cartelle e file nascosti di windows.
-Non dà la possibilità di avviare o installare programmi tipo; Hijackthis, Spyboot, CCleaner.
Come si propaga e come agisce questo malware?
Lo si può trovare spesso in archivi contenenti programmi e crack, si propaga tramite le reti p2p come emule,ma anche via email. una volta eseguito il suo file crea i files hldrrr.exe e mdelk.exe in C:\windows\system32\drivers oltre alla cartella downld.
Scarica vari files da internet nella cartella downld e li avvia. Essi creeranno la cartella %appdata%\m e dentro di essa il file flec006.exe che scarica altri archivi infetti da internet.
Questa cartella e i files scaricati non sono nascosti con tecniche rootkit ma hanno solo l'attributo nascosto (come la cartella downld), Tutti i files di questo malware sono nascosti con tecniche rootkit,per cui non si possono visualizzare tramite esplora risorse.
Insomma un bel casino
Cercando in rete si trovano molte “soluzioni” ma nessuna funzionante o parzialmente funzionante.
Riporto metodo di come ho risolto io:
1) Disattivazione ripristino configurazione di sistema:
2) Scaricare
BagleD (info)
3) Scaricare
elibagla (removal tool spagnolo): dopo essere andati su
(info) scorrere a fondo pagina e cliccare su "descargar elibagla"
Una volta installato assicurarsi che la casella "Eliminar Ficheros Automaticamente" sia spuntata.
4) Avviare
BagleD si aprirà una finestra tipo “prompt di dos” attendere fino alla richiesta di riavvio del PC
5) Al riavvio del PC partirà in automatico il programma
elibagla che farà la scansione approfondita del vostro disco C ed eliminerà in automatico tutti i file infetti
6) A questo punto dopo il riavvio dovete reinstallare i vostri programmi di sicurezza fate una bella pulizia con Spyboot, CCleaner ed il vostro antivirus e verificate il tutto con Hijackthis!
Ora che tutto è tornata quasi alla normalità dovete solo ricreare le chiavi di registro cancellate per poter avere ancora la modalità provvisoria
Incollate il testo sottostante sul
Blocco note e salvate il file con il nome
registro.reg Assicuratevi che l'estensione del file sia
REG e non
TXT. Fate il doppio click sul file
registro.reg e date la conferma per due volte. Per apportare le modifiche al registro dovrete riavviare il computer.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004
Spero non debba servire a nessuno in caso contrario buona fortuna!
P.S.: Se avete commenti o suggerimenti ben venga.
