| di
Giuseppe D'Agrusa
|
Come
rimuovere W32.Beagle/Bagle.@mm
e sue varianti |
Riservatezza
e sicurezza |
Introduzione
Il
18 marzo è stato lanciato un
allarme di livello medio per la propagazione
di Beagle o Bagle e precisamente la
variante "Q". Il virus frutta
alcune falle di sicurezza dei sistemi
operativi Windows 98, Me, NT, 2000 e
XP.
Caratteristiche
Questo virus è abbastanza particolare
puo infettare sia con un allegato oppure
senza. La sua diffusione, come è
comprensibile, avviene via posta elettronica
con allegati di circa 25 Kb in questo
caso i mittenti delle e-mail sono indirizzi
casuali, loggetto dell'email del tipo:
- Password: %s
- Pass - %s
- Password - %s
- E-mail account security warning.
- Notify about using the e-mail account.
- Warning about your e-mail account.
- Important notify about your e-mail
account.
- Email account utilization warning.
- E-mail technical support message.
- E-mail technical support warning.
- Email report
- Important notify
- Account notify
e
come allegato; ecco alcuni esempi:
Re: Msg reply
Re: Hello
Re: Thank you!
Re: Text message
Re: Yahoo!
Re: Incoming Fax, Hidden message, Fax
Message Received, Protected message
Re: Protected message, Forum notify,
Request response, Site changes
Re: Thanks :)
Re: Document, Incoming message
Ma
può anche veicolarsi senza allegati,
con un codice HTML nel corpo dell''email
in cui sono presenti dei collegamenti
links che saranno in grado di infettare
il sistema il momento in cui verrà
visualizzato il messaggio, facendo partire
l'anteprima. Questi collegamenti trovando
la connessione attiva alla Rete Internet,
effettuano il download di un programma
che sarà in grado di infettare
il sistema. A
tal proposito si consiglia di visitare
il sito della Microsoft
e leggere il bollettino (in inglese):
Microsoft
Security Bulletin MS03-032
oppure il sito di Trend
Micro (in inglese) e leggere
la scheda HTML_BAGLE.Q
Attenzione!
Non tutti i virus hanno un codice nocivo
e non tutti i codici nocivi hanno un'azione
distruttiva.- alcuni si replicano o
si diffondono solamente. In questo caso
Bagle apporta delle modifiche al sistema
ed a delle chiavi del registro:
-
File exe del worm: %SysDir%DIRECTS.EXE
- Chiavi di registro:
HKEY_CURRENT_USERSoftwarewindirects
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRun "directs.exe"
= %Sysdir%directs.exe
Inoltre
il Worm tenta di terminare tutta una
serie di processi, riportiamo alcuni
processi come esempio:
CLEANER3.EXE
au.exe
d3dupdate.exe
CLEANPC.EXE
AVprotect9x.exe
CMGRDIAN.EXE
CMON016.EXE
SAFEWEB.EXE
SBSERV.EXE
SD.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
In
ultimo i worm copia il suo codice in
tutti i file EXE presenti nel sistema
(il file EXE crescerà di 26KB).
In ultimo il 31/12/2005 il worm cesserà
la sua attività e si eliminerà
dall'avvio automatico.
|
Articoli & Guide 
