Anamnesi: Bagle es un gusano y por si solo no es peligroso como pone en muchas webs. Pero como buen gusano en su rutina de funcionamiento llama a otros "procesos infecciosos"(no sé a cuantos, ni cuales) que sí son algo más molestos. Estos otros procesos suelen ser rootkits y hijackers (son los que he experimentado) y no sé si algún otro XD.
Diagnóstico: Realmente no sabes cuando has sido infectado por Bagle pero te das cuenta que tu antivirus no funciona, que tu antispy tampoco lo hace, algunos procesos internos de windows dan problemas, periféricos que funcionaban ya no funcionan (por ej. la tarjeta de sonido), no te deja instalar según que programas, NO TE DEJA JUGAR A TUS JUEGOS ONLINE (y ahí me toco la fibra), etc. Esto es debido al resto de rootkits, hijackers y demás que el gusano llama a través de su rutina, que intuyo que será abrir ciertos puertos o usar los que ya hay abiertos y conectarse a sitios sin que te des cuenta. (bueno realmente ni lo sé ni me importa).
Claro está que un proceso así tan "peligroso" para la seguridad del sistema, ya que campa a sus anchas, su método de infección tiene que ser algo complejo como aprovechar un bug del sistema operativo ... PUES NO!! Bagle se ayuda de un otro virus para realizar la infección. Y este último si que es peligroso. Se trata de un virus de dos patas que se sienta delante del ordenador. Sí, Bagle es un ejecutable (ohhh!!) y si no lo instalamos nosotros mismos es difícil que este por si sólo lo haga. Es decir que a través del adjunto de un mail o un crack o vete a saber a lo que le das click al cabo del día se te instala. Así que si se quiere una buena profilaxis (por cierto buenísimo el corto) contra este tipo de infecciones no hay otra cosa que la de tener un buen hábito de uso (hay que ser buenos eh?XD).
Tratamiento y posología: Bueno vamos por materia. De las herramientas que hay por ahí para eliminar Bagle, si se está infectado por él no funcionarán si se arranca des del propio sistema infectado. Por lo tanto hay que arreglárselas para arrancar desde otro sistema operativo y poder hacer limpieza. Sacar el disco duro y meterlo en otro lado, puede ser una buena opción. Pero muchas veces ni disponemos de otro equipo para meterle el disco duro lleno de "cocos", ni apetece ponerse a desarmar. La solución es arrancar desde un disco autoarrancable con DOS o consola de control en DOS. Yo utilizo BartPE (p.ej.) pero ya digo cualquiera sirve.
Antes de nada es conveniente deshabilitar el Restaurar Sistema.
Se reinicia el ordenador y se arranca desde el CD (o lo que sea) autoarrancable. Una vez en la consola de DOS se buscan los siguientes archivos y se borran:
1-. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
2-. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
3-. C:\WINDOWS\SYSTEM32\WINTEMS.EXE
4-. C:\WINDOWS\system32\MDELK.EXE
5-. C:\Windows\system32\drivers\HIDR.EXE
5-. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT
Al igual todos no se encuentran (mejor) pero si haya alguno de ellos quiere decir que se está infectado.
Una vez borrados no quiere decir que ya se esté limpio (ojalá, Bagle lo que infecta es el registro) pero si que dará un pequeño margen tiempo para que cuando se arranque de nuevo el sistema se pueda restaurar todo de nuevo y poder ejecutar los antivirus y demás programas para limpiar malware del sistema.
Así que se arranca normalmente y se instala Elibagla (la descarga está abajo del todo), se intenta hacer utilizable el modo a prueba de fallos de windows (por si no te has dado cuenta el virus lo ha deshabilitado y cuando se arranca en dicho modo da un pantallazo azul) Archivo ejecutable que lo permite.
Se intenta arrancar en modo a prueba de fallos. Y si deja y todavía no se ha instalado el gusano, se vuelve a pasar Elibagla, se instala antivirus, el antiespias y los limpiadores de registro y demás herramientas para evitar infecciones.
Antes de que se pasen, se tienen que borrar unas entradas del registro de windows para que no se vuelvan a activar los rootkits y el gusano. Si no se puede volver a instalar el antivirus y demás quiere decir que los rootkits siguen activos. Se tendrá que volver a arrancar con el cd de arranque. La última vez lo tuve que hacer un par de veces, pero también tengo que decir que no había quitado las entradas en el registro.
Bien se va a <Inicio>
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: drv_st_key = "%User Profile%\Application Data\hidn\hidn2.exe"
Clave: HKEY_CURRENT_USER\Software\FirstRunAl igual en el valor no sale el mismo archivo pero si es de la misma sintaxis seguramente que será otro tipo de malware que está dando la lata. En todo caso eliminar la entrada.
Valor: FirstRun = "1"
Una vez eliminada la entrada se pasan otra vez los antivirus, antispys, limpiadores de registro y Elibagla por si acaso. Hay que pensar que hay muchos archivos maliciosos que no seríamos capaces de encontrarlos sin estas herramientas. Y si ha habido suerte... a otra cosa mariposa.
Nota: El conocimiento es como agua entre las manos.
Be watter my friend.
...post dedicado a Piticli.
Bibliografía: Google en general
----------------
Now playing: Transfer - 03. Domesticao
via FoxyTunes
