Il Bagle, uno dei più pestilenziali malware dell'ultimo anno, appartiene alla famiglia dei Rootkit, una tipologia di virus che si colloca nei gradini più alti della scala di attachi alla sicurezza: Rootkit infatti è il termine ”immagine che definisce quei malware che riescono ad iniettare il loro codice ad un livello macchina talmente nascosto che inizialmente erano addiritura impossibili da identificare da parte degli Antivirus, ma che ancora oggi sono decisamente difficoltosi da fermare.

Nonostante il periodo di "massimo splendore" del Bagle sia passato, è ancora molto frequente la sua presenza soprattutto su files scaricati da reti P2P (generalmente su patch/crack/keygen), ma anche da script ridirezionanti su siti che ne fanno scaricare silenziosamente l'installazione.

Per cui una nuova guida male non fa :


1. I sintomi

- Antivirus/Antispyware/Firewall disabilitati
- Qualsiasi altro programma utilizzato in ambito sicurezza che restituisce l'errore "applicazione win32 non valida"
- Impossibilità di riavviare il PC in modalità provvisoria
- Audio non funzionante o corrotto
- Impossibilità di utilizzare la wireless
- Più raramente, connessione LAN e porte USB non funzionanti


2. Strumenti di Rimozione da scaricare

<img src='http://www.collectiontricks.it/imagesbox/collection/icon/act.gif'> Quando scaricate questi files DOVETE avere l'accortezza di salvarli con un'altro nome MENTRE LI SCARICATE, perchè se toccano l'hard disk con il loro nome, il Rootkit li riconoscerà e li corromperà immediatamente (quindi Combofix potrà chiamarsi Fix.exe, Elibagla sarà Eli.exe e così via)
Mettere tutto sul Desktop.

- Combofix
- Elibagla
- Findykill
- ATF-Cleaner
- Malwarebytes
- Tool di ripristino


3. Procedura (da eseguire in questo ordine)

1. Disconnettersi da Internet (eventualmente spegnere il router)
2. Lanciare subito Combofix che è in grado di stroncare ed eliminare la maggior parte del rootkit: non toccare neppure il mouse mentre lavora e disinstallare precedentemente eventuali emulatori tipo Daemon Tools.
3. Disattivare il Ripristino di Sistema
4. Lanciare Elibagla cliccando sull'opzione "Explorar" assicurandosi che la casella "Eliminar ficheros automaticamente " sia spuntata
5. Lanciare ATF-Cleaner selezionando l'ultima casella (seleziona tutto) e fargli fare la pulizia del PC
6. Lanciare Findykill, scegliere la lingua e iniziare con l'opzione 1 (Ricerca dei files infetti) e salvare il log (find1.txt)
7. Lanciare di nuovo Findykill e scegliere l'opzione 2 (Soppressione dei files infetti) e slavare il nuovo log (find2.txt)
NOTA SU FINDYKILL:
La scansione è abbastanza lenta ma permette 2 cose: primo la conferma che tutti i files infetti sono stati eliminati, e secondo, non meno importante, che fra questi file c'è il "portatore" del Rootkit.
8. Adesso lanciare e aggiornare Malwarebytes, ed eseguire una scansione approfondita: una volta finita selezionare "Mostra tutti i risultati" e poi premere il pulsante in basso a sinistra per eliminare quanto trovato.
9. A questo punto è necessario ripristinare servizi e programmi: utilizzate il Tool di ripristino per i servizi (le procedure possono anche essere fatte manualmente, ma così è più veloce), mentre tutti i programmi che davano l'errore "applicazione win32 non valida", gli antimalware disabilitati e i drivers corrotti dovrammo essere disinstallati e reinstallati.
10. Riattivare il Ripristino di Sistema
11. Se chiedete aiuto nel Forum allegate tutti i log prodotti dalle scansioni in modo che possiamo verificare:

C:\combofix.txt
C:\InfoSat.txt (Elibagla)
Find1.txt
Find2.txt
e il log di Malwarebytes

Normalmente questa procedura elimina il Bagle e ripristina funzionalità del sistema corrotte dal Rootkit: se ci fossero problemi o casistiche diverse è utile aprire una discussione nel Forum Security, poichè questo 3d è dedicato alla Guida.


<img src="http://www.collectiontricks.it/imagesbox/collection/icone/ct.png">