Bagle (conosciuto anche come Beagle) è un trojan capace di infettare i sistemi operativi Microsoft, generalmente difficile da eliminare, che disabilita gli antivirus e usa la tecnica del rootkit per occultarsi. Ci sono due varianti del virus, la prima, Bagle.A, non ebbe larga propagazione mentre la variante Bagle.B si propagò molto più rapidamente, e ha creato molti più danni.
La prima variante, Bagle.A, fu scoperta il 18 gennaio 2004 e a causa della sua scarsa diffusione, cessò di propagarsi il 28 gennaio 2004. La variante Bagle.B fu scoperta il 17 febbraio 2004 e fu programmata per terminare la sua diffusione il 25 febbraio 2004.
Scoprire se si è infettati da Bagle
[modifica | modifica wikitesto]Un modo semplice per verificare se il proprio computer, con montato un sistema operativo Microsoft, è infettato da Bagle è quello di attivare la visualizzazione dei file nascosti. Per far ciò recarsi in "Pannello di controllo" ed aprire "Opzioni cartella", a questo punto cliccare su "Visualizza file nascosti" e confermare la voce. Se nel proprio computer è presente il suddetto virus l'opzione appena modificata ritornerà come prima dopo qualche secondo. Bagle, infatti, provvede a bloccare l'opzione per evitare di essere rintracciato. Inoltre, se si inserisce una chiavetta USB o altro supporto esterno, l'icona in "Risorse del computer" cambierà forma, diventando una cartella gialla aperta. Per evitare di essere infettati dal virus andare su Risorse del computer, cliccare con il tasto destro sulla pendrive da aprire e cliccare Esplora. In questo modo, verrà bypassata l'apertura del virus.
Gli effetti di Bagle
[modifica | modifica wikitesto]Come tutti i Worm, anche Bagle produce i suoi effetti dannosi. Come virus stealth, Bagle cerca subito di auto-proteggersi, ovvero blocca antivirus e firewall e/o qualsiasi altro software per la protezione del sistema in cui risiede. Impedisce l'accesso a qualsiasi file eseguibile. In alcuni software, soprattutto nei software antivirus, appena si tenta l'esecuzione, viene segnalato un errore di sistema ("Win32 è un'applicazione non valida"). La modalità provvisoria (safe mode) viene impedita in modo che l'utente non abbia la possibilità di eseguire delle scansioni. Nei peggiori casi, Bagle potrebbe anche disattivare alcuni driver, come quello dedicato alla scheda audio, o più semplicemente causare il frequente riavvio del pc. Generalmente, Bagle rallenta molto la velocità del Pc, poiché sfrutta la memoria ram. Inoltre impedisce agli utenti di accedere ai siti dei più famosi antivirus (nod32, avast, avg, ecc.), a tutti i siti microsoft e al sito per scaricare l'aggiornamento di Windows Messenger, facendoli apparire come inesistenti o indirizzando il browser verso la pagina di ricerca dei siti non trovati. Inoltre, tutte le chiavette USB e le schede di memoria che vengono inserite nel Pc infetto vengono automaticamente infettate. Se queste vengono inserite in un altro Pc, lo infetteranno a loro volta. Un'ulteriore caratteristica di questo trojan è quella di infettare gli archivi ed i file contenuti nel pc, in ogni cartella viene creato un file "crack.exe"
Come si presenta Bagle
[modifica | modifica wikitesto]Bagle si presenta solitamente come un Keygen, di solito con un'icona a forma di croce, una chiave azzurra, una maschera grigia, un'icona a forma di occhio o a forma di cerotto giallo. Il nome del file solitamente è trusted.exe, patch.exe, run.exe o crack.exe. Il suo nome cambia in alcune varianti del virus, ad esempio "Mitglieder", ma il funzionamento è molto simile.
In una delle varianti, il virus è facilmente riconoscibile, in quanto installa un'applicazione fasulla che consentirebbe la lettura delle scatole nere degli aerei (NTSB investigators flight recorder).
Un ulteriore modo per rendersi conto della presenza di un'infezione in corso, è quello di aprire il task manager e verificare la presenza di un processo denominato Patch.exe che ha come descrizione Neosoft.
Come prevenire Bagle e simili
[modifica | modifica wikitesto]Il trojan necessita dell'intervento dell'utente per infettare il sistema. Bagle si trova nelle rete P2P (come ad esempio eMule), come allegato ad una e-mail o in una chiavetta USB o scheda di memoria. Si trova sotto forma di file eseguibile, soprattutto nei crack dei software, all'interno di un archivio compresso, come .zip o .rar. Per questo, prima di aprire un file compresso, è opportuno eseguirne la scansione con uno specifico servizio esterno (per esempio "VirusTotal").[1] Ormai quasi tutti gli Antivirus lo rilevano.
Come rimuovere Bagle
[modifica | modifica wikitesto]Dato che la rimozione è piuttosto complessa, esistono molti programmi, anche gratuiti, che svolgono questo compito. Ormai anche molti antivirus riescono a rilevare e rimuovere Bagle. Uno di questi è Avira Antivirus, anche se nelle ultime versioni del trojan anche quest'ultimo antivirus viene disabilitato. È però necessario agire nel minor tempo possibile, per evitare la diffusione del virus.
La difficoltà maggiore è causata da un Kernel driver che il virus installa nel sistema: C:\windows\system32\drivers\SROSA.sys. Questo driver non permette di visualizzare qualsiasi file che abbia il nome di un modulo qualsiasi del virus, per esempio il nome completo del driver SROSA.SYS oppure il file HLDRR.EXE, ecc. Infatti, un altro modo per verificare se si è infetti è aprire un editor di testo e salvare un file con il nome SROSA. SYS sul desktop, e verificare se è presente.
In presenza del "crack.exe", è sufficiente eliminare il file o disinfettarlo con un antivirus opportuno senza lanciarlo. In caso contrario, l'infezione è immediata.
Un software estremamente potente ed efficace è COMBOFIX, scaricabile gratuitamente dal sito del produttore, anche se ne si sconsiglia l'utilizzo senza la supervisione di un esperto.
Tool e servizi che permettono la rimozione di Bagle
[modifica | modifica wikitesto]- Findykill
- Elibagla
- SpyBot Search & Destroy. È comunque noto che le ultime versioni del virus rendono inutilizzabile SpyBot S&D.
- Combofix
Note
[modifica | modifica wikitesto]2. Guida completa alla rimozione Archiviato il 14 luglio 2014 in Internet Archive.