Rimozione del worm Bagle

31/03/2008

Sabato scorso ho cominciato la giornata con una doccia fredda. Ho subìto un attacco del worm Bagle.
La manifestazione del worm si è concretizzata in pochi minuti in :

  • disattivazione del mio antivirus (McAfee)
  • disattivazione del mio personal firewall (ZoneAlarm)
  • disattivazione di molti servizi di sistema
  • disattivazione di parecchie credenziali di accesso/modifica, specialmente al registro di sistema
  • inibizione dell’accesso al sistema nella modalità provvisoria
  • inibizione della reinstallazione e/o esecuzione di firewall/antivirus

Ovviamente questo mi ha parecchio sconfortato, e ho temuto il peggio. Infatti non riuscivo a fare niente, viste tutte le azioni messe in atto dal worm ed elencate prima.
Per fortuna, tramite un altro pc in casa, mi sono messo in cerca su internet di informazioni e tools che mi potessero aiutare, e ho trovato parecchia roba. Ma i tool specifici in realtà non mi sono stati di grande aiuto. Piuttosto una serie di operazioni manuali, mi ha salvato. Di seguito riporto i passi da seguire, frutto di un copia e incolla da diverse fonti, siti, post e altro, motivo per il quale scrivo questo post, sperando serva ad accelerare la risoluzione per qualcun altro.

Premetto che :

  • per fare tutto ciò è necessario entrare con una utenza di amministratore (che era poi l’utenza che è stata attaccata dal worm nel mio caso)
  • tutto quanto di seguito indicato, si riferisce ad un sistema Windows XP Professional +sp2, per cui nel caso di altri sistemi potrebbero esserci differenze riguardo i nomi delle directory (winnt ad esempio invece di windows, se si lavora sul 2000)

1. Ripristino Accesso in Modalità Provvisoria

Per ripristinare la modalità provvisoria ho portato ed eseguito (da una chiavetta usb) uno script reg sulla macchina colpita:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]
"UuidSequenceNumber"=dword:0cdae01e
[HKEY_CURRENT_USER\Session\Information]
"ProgramCount"=dword:00000004

Dopo aver ripristinato questa funzionalità, riavviare la macchina ed entrare in modalità provvisoria (sempre come amministratore).

2. Cancellazione files

Cancellare tutti i file presenti, tra quelli indicati di seguito. Le indicazioni di seguito riportate, indicano con %SystemDrive% il disco (normalmente C) dove è installato il sistema operativo, e con %UserProfile% l’utenza (amministratore) con cui si sta operando:

  • %SystemDrive%\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\m_hook.sys
  • %SystemDrive%\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\hidr.exe
  • %SystemDrive%\Documents and Settings\%UserProfile%\Dati applicazioni\hidires\rosa.sys
  • %SystemDrive%\WINDOWS\system32\wintems.exe
  • %SystemDrive%\WINDOWS\system32\hldrrr.exe
  • %SystemDrive%\WINDOWS\system32\trusted.exe
  • %SystemDrive%\WINDOWS\system32\drivers\hidr.exe
  • %SystemDrive%\WINDOWS\system32\drivers\srosa.sys
  • %SystemDrive%\WINDOWS\system32\drivers\pci32.sys

3. Cancellazione directory

Cancellare tutte le directory presenti, tra quelle indicate di seguito:

  • %SystemDrive%\Documents and Settings\%UserProfile%\Dati applicazioni\hidires
  • %SystemDrive%\WINDOWS\exefnd
  • %SystemDrive%\WINDOWS\exefld

4. Cancellazione chiavi di registro

Tramite regedit.exe cancellate le chiavi di registro presenti, tra quelle di seguito elencate:

  • HKLM\SYSTEM\CurrentControlSet\Services\m_hook
  • HKLM\SYSTEM\CurrentControlSet\Services\rosa
  • HKLM\SYSTEM\CurrentControlSet\Services\srosa
  • HKLM\SYSTEM\CurrentControlSet\Services\pci32
  • HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK
  • HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
  • HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
  • HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
  • HKCU\Software\DateTime4
  • HKCU\Software\FirstRRRun

5. Cancellazione voci di registro

Ancora con regedit.exe verificate se esistono le seguenti voci nel registro, e nel caso cancellatele:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • hldrr
    • hldrrr
    • rvsyskit
    • german.exe

6. Eliminazione File Temporanei

Eliminare dalla cartella:

%SystemDrive%\Documents And Settings\%UserProfile%\Dati Applicazioni\Impostazioni Locali\Temp\

tutti i file *.exe e *.tmp in quanto qualcuno di loro potrebbe essere una copia infetta del worm in questione.

7. Riattivazione Servizi Disabilitati

Eseguire l’applicativo di gestione dei servizi, tramite il comando Services.msc, ed abilitare, se disabilitati i seguenti servizi, riportando in Automatico l’avvio degli stessi:

  • Avvisi
  • Centro sicurezza PC
  • Aggiornamenti automatici
  • Connessioni di rete
  • Zero Configuration reti senza fili
  • Windows Firewall/ Condivisione connessinoe Internet (ICS)

8. Reinstallazione Antivirus e Firewall

Procedete con l’installazione ex-novo dell’antivirus e del firewall che sono stati travolti da Bagle e quindi riavviare, facendo come prima operazione al riavvio la scansione dell’intero disco, sia con l’antivirus che con un eventuale altro antispyware.

La cosa migliore, comunque, è quella di non avere mai bisogno di questa procedura.

Posted by dancerjude
Filed in Troubleshooting
Tags: , ,
2 Comments »