Discussione:
SPERO NON VI ACCADA QUANTO ACCADUTO A ME... non è un semplice worm Bagle... è il male!
(troppo vecchio per rispondere)
Mao
2008-01-07 15:02:29 UTC
Permalink
Ciao ragazzi, dunque sedetevi intorno al camino che vi racconto una
fiaba. La storia del magico Natale trascorso con un worm che a mio
parere è il diavolo in persona. Cosa ancor più grave dopo averlo
debellato con un formattone l'ho ribeccato da ieri sera in una versione
più "soft" ma ugualmente bastarda.

Il worm in questione è Bagle in due delle sue ultime varianti non
riconosciute da alcun antivirus eccetto, forse, Kaspersky.

Ma procediamo con ordine:
A Natale un familiare in cerca di articoli da regalo su Google becca il
primo dei due worm (il peggiore) su un sito italiano di gioielli.
Spegne il computer e il giorno il sottoscritto lo accende...
trallallero' trallala' carica winzozz xp pro e..... eh? Il pc si
riavvia... arriva a caricare l'icona di Outpost 4.x e riavvia ad eternum.
Provo in modalità provvisoria anche qui si riavvia!

Fortuna vuole che dopo tante puntate viste di McGyver mi viene in mente
che ho un'altra partizione di xp sullo stesso hd. Vi entro e da li'
cancello il file di OutPost.

Ok torno alla prima partizione e XP riparte... finisce di caricare e...
cosa vedono i miei occhi... l'ombrellino di AVIRA Classic letteralmente
scomparso (o forse è volato via), SpyBot scomparso, Centro Sicurezza XP
scomparso. Tutto scomparso in termini di protezione. Resisteva ancora
impotente il programmino che monitorizza il registro allegato ad AVIRA.

Iniziano le mie 3 giornate di passione, dopo una giornata intera a
scovare i processi coinvolti ed aver scaricato la crema della crema di
prodotti dedicati a Bagle (EliBagla, Avenger, gmer, i vari fix della
ESET, quello della Norton, solo a mani nude elimino il trojan con un
nome strano diverso dal solito hldrrr.exe, ma non l'altro programma
quello diabolico che viene caricato di nascosto tra i processi ed
impedisce anche l'installazione di altri antivirus e cerca puntualmente
di installare il trojan).

A dire il vero questa variante ha cercato di installare almeno altri 4
compagni di merenda, anch'essi varianti di Bagle, tra cui geman.exe
srosa.exe, www.exe e wintems.exe.

Disattivato il ripristino configurazione, ho scoperto che il trojan
infetta IExplorer rendendolo lentissimo, imputtanattissimo e soprattutto
irrecuperabile. Ad ogni avvio inserisce tra le chiavi di registro queste
voci:

FirstRRRun
First12Ru123n

che richiamano probabilmente il trojan.
Cosa più inquietante è che lo stronzo cambia nome. Avete capito bene,
quando vado in drivers di system32 e lo cancello manualmente (e con un
tool monitorizzo la cartella) noto che al mio "cancella" ricompare un
nuovo file.sys dal nome alfanumerico! Al riavvio successivo il file.sys
scompare e ricompare il trojan!

Un cocktail esplosivo, un worm non riconosciuto dagli antivirus e che
cambia nome!!!

Il bastardone mi ha reso impossibile per 24 installare Kaspersky, Nod32
e ogni altro software, nonostante il trojan cancellavo l'altro processo
(quello inibitore degli antivirus) appena partiva il setup in tempo
reale interferiva col Kernel o cancellava alcuni file di installazione!

Cosa ancor più triste non è stato rilevato da:
-Panda Antivirus 2007 Aggiornato
-Trend Micro Pc-cillin - scansione on line
-Norton 2007 aggiornato
-AVG
-Nod32 2.x. aggiornato
-SpyBot aggiornato.
-Outpost Firewall Pro 2008 ver.6 aggiornata.

NON SOLO. Mi ha anche disattivato gli antivirus sull'altra partizione!!!
ARGHHHH
E come se non bastasse mi si è "attaccato" al driver della scheda audio
e solo quando con Hijackthis ho disattivato il processo sono riuscito a
far partire Kaspersky. Quest'ultimo ha trovato il verme schifoso nel
file del driver della scheda audio e in una dir temp di impostazioni locali!

Nonostante la vittoria finale: uomo 1 - macchina 0, ormai dopo l'uso
massiccio e disperato di killbox e Hijackthis il pc era ridotto ad un
colabrodo. IE era lentissimo e aveva il file host imputtanito dal trojan
e pieno di indirizzi asiatici. L'ho disinstallato e reinstallato (sia la
ver. 7 che la 6) e ha acquisito un po' di velocità seppure rimanendo
zoppicante nel visitare alcuni siti. Insomma ormai il pc era a puttane e
ho dovuto reinstallare.

Devo dire che un grande aiuto me lo ha datto Outpost Pro v.6, che a
differenza della v.4 resiste anche alle cannonate. Un signore firewall,
mi ha anche offerto un caffè mentre soffrivo per il mio pc. "Su su non
faccia cosi' vedrai che gli facciamo un ( ! ) cosi'.." ehm scusate
momento demenzial.

A parte questo, a 48 ore dall'aver reinstallato tutto ieri sera ho
beccato il secondo Worm, Bagle ma versione quasi "classica". Il trojan
infatti è vicino al classico hldrrr.exe.

Outpost me lo ha intercettato su un sito di hardware italiano, Nod32 che
avevo illusoriamente installato al posto di AVIRA Classic è saltato
quasi subito. Il firewall regge ancora ora ma il pc è di nuovo una pezza.
Outpost è in modalità "block all" cosi' da controllare ogni singolo
movimento nel sistema anche sei danni già li ha fatti e IE è totalmente
fuori uso e infettato. Anche qui i vari rimedi trovati in rete (tra cui
la pulizia con Avenger) sono inutili, riescono ad eliminare solo il
trojan ma non il processo che blocca gli antivirus.

Che fare quindi? Reinstallo? E dopo? Cambio browser? E che antivirus uso?
Di certo non navighero' per un pezzo su siti sconosciuti e faro' evitare
ai familiari ricerche via google. In 10 anni che uso internet non mi è
MAI capitata una bestia così.

Sono davvero stanco di questo worm, mi viene da pensare che sia stato
messo in giro proprio da Kaspersky. Vi prego di non considerarmi un
paranoico ma ho già letto di vicende simili in passato. E' assurdo che
l'unico in grado di debellarlo sia kaspersky ciò nonostante lo fa troppo
tardi perchè sto worm rovina il pc, disattiva servizi e fa che cavolo
gli pare!!!

Esco e vado in chiesa a pregare. Vedo di esporre la questione ad un prete.
s***@gmail.com
2008-01-07 15:14:27 UTC
Permalink
Post by Mao
Che fare quindi? Reinstallo? E dopo? Cambio browser? E che antivirus uso?
Di certo non navighero' per un pezzo su siti sconosciuti e faro' evitare
ai familiari ricerche via google. In 10 anni che uso internet non mi è
MAI capitata una bestia così.
Cambia sistema operativo.
Post by Mao
Sono davvero stanco di questo worm, mi viene da pensare che sia stato
messo in giro proprio da Kaspersky. Vi prego di non considerarmi un
paranoico ma ho già letto di vicende simili in passato
Eh si'... l'hai letto sul sito di tuo cuggino.
Yorgos
2008-01-07 15:17:37 UTC
Permalink
Post by Mao
Esco e vado in chiesa a pregare. Vedo di esporre la questione ad un prete.
Che magari conosca Linux :-)
--
Bye, Yorgos

To send me an e-mail, please change anthzùya with alice
Pinotto
2008-01-07 15:40:52 UTC
Permalink
Post by Mao
Che fare quindi? Reinstallo? E dopo? Cambio browser? E che antivirus uso?
Di certo non navighero' per un pezzo su siti sconosciuti e faro' evitare
ai familiari ricerche via google. In 10 anni che uso internet non mi è
MAI capitata una bestia così.
Un mio amico recentemente ha preso il bagle,
probabilmente da un eseguibile trovato sul p2p.
Ovviamente la soluzione è stata il formattone,
anche pulendolo ti rimane un sistema a pezzi con il registro come una gruviera.
Eppoi tentare di installare antivirus in un sistema posseduto, è solo tempo perso.
Semmai ti tieni un dualboot con un linux dotato di antivirus e da lì tenti la riparazione.


Io non ho mai preso virus.
Ho un windows sempre aggiornato,
tranne poche eccezioni, non uso IE,
sono dietro ad un router.
Forse sono stato fortunato.
Avatar - QUELLO VERO VERO -
2008-01-07 17:12:06 UTC
Permalink
Post by Pinotto
Post by Mao
Che fare quindi? Reinstallo? E dopo? Cambio browser? E che antivirus uso?
Di certo non navighero' per un pezzo su siti sconosciuti e faro' evitare
ai familiari ricerche via google. In 10 anni che uso internet non mi è
MAI capitata una bestia così.
Un mio amico recentemente ha preso il bagle,
probabilmente da un eseguibile trovato sul p2p.
Ovviamente la soluzione è stata il formattone,
anche pulendolo ti rimane un sistema a pezzi con il registro come una gruviera.
Eppoi tentare di installare antivirus in un sistema posseduto, è solo tempo perso.
Semmai ti tieni un dualboot con un linux dotato di antivirus e da lì tenti la riparazione.
io ho preso il bagle e l'ho debellato e il mio sistema ora è
perfetto...fai un giro su internet, ci sono dei tutorial su come
disinstallare bagle e funzionano, almeno per me ha funzionato! altro che
formattone!
ecco qui http://www.megalab.it/articoli.php?id=948 io ho seguito queste
informazioni e ho un sistema perfettamente funzionante ora
TheHitch
2008-01-07 17:24:46 UTC
Permalink
Post by Mao
Cambio browser?
Dimenticati di interdet exploder, usa firefox o opera.

TheHitch
Il Poeta della Corteccia
2008-01-07 20:22:51 UTC
Permalink
Post by Mao
Esco e vado in chiesa a pregare. Vedo di esporre la questione ad un prete.
e se poi ti punisce con dieci dpkg e 4 apt ?
roccantonio
2008-01-07 20:38:18 UTC
Permalink
Ciao ragazzi, dunque sedetevi intorno al camino che vi racconto una fiaba.
La storia del magico Natale trascorso con un worm che a mio parere è il
diavolo in persona. Cosa ancor più grave dopo averlo debellato con un
formattone l'ho ribeccato da ieri sera in una versione più "soft" ma
ugualmente bastarda.
Ti chiedo se è il caso di fare ogni tanto un backup "pulito" con Acronis
True Image
o altri programmi. Forse ti saresti risparmiato tre giorni (purtroppo!) di
incavolature...
Comunque in un modo o in un altro hai risolto e ne sono contento. Ciao.
Antonio
Mao
2008-01-08 12:38:51 UTC
Permalink
Rieccomi, niente da fare ho dovuto riformattare tutto.
Attualmente ho Outpost Pro Firewall 2008 e Kaspersky antivirus (versione
in prova e se vale la pena lo compro). Per Internet addio Explorer e uso
Firefox.

Spero sia sufficiente per il futuro anche perchè sebbene abbia
"coordinato" firewall e antivirus il meglio possibile il sistema
inevitabilmente è lentino e paranoico su alcuni processi al punto da
rendermeli malfunzionanti.

Il formattone era inevitabile, nonostante il tentativo di ripristino del
sistema dal CD di XP ormai anche la modalità provvisoria si era
imputtanita. Ho beccato due varianti di Bagle davvero non augurabili a
nessuno.

x Avatar: quel link è stato uno dei primi che ho visitato ma nel mio
caso non è servito a niente.

Grazie a tutti per le risposte (anche ai soliti polemici).

Maramao.
Avatar - QUELLO VERO VERO -
2008-01-08 17:25:31 UTC
Permalink
Post by Mao
x Avatar: quel link è stato uno dei primi che ho visitato ma nel mio
caso non è servito a niente.
mi spiace non sia servito a niente...cmq in bocca al lupo ora e speriamo
non ti ricapiti. ottima idea per firefox ;)
ciao ciao

Continua a leggere su narkive:
Loading...