domingo, noviembre 30, 2008

Bagle

Primero de todo decir que este post nace con la finalidad de ser una chuleta para la próxima vez que me infecte con Bagle y si de paso le sirve a alguien que este infectado pues mejor. En el fondo es peor tener que buscar la información de nuevo quitar el propio bixo. Así que entiendo que si no se está infectado, este post es de lo mas rallante que te puedes echar a la cara, así que lo he adornao con unos cuantos links para hacerlo más popular y no sólo para mi y remotamente alguien que esté infectado.

Anamnesi: Bagle es un gusano y por si solo no es peligroso como pone en muchas webs. Pero como buen gusano en su rutina de funcionamiento llama a otros "procesos infecciosos"(no sé a cuantos, ni cuales) que sí son algo más molestos. Estos otros procesos suelen ser rootkits y hijackers (son los que he experimentado) y no sé si algún otro XD.

Diagnóstico: Realmente no sabes cuando has sido infectado por Bagle pero te das cuenta que tu antivirus no funciona, que tu antispy tampoco lo hace, algunos procesos internos de windows dan problemas, periféricos que funcionaban ya no funcionan (por ej. la tarjeta de sonido), no te deja instalar según que programas, NO TE DEJA JUGAR A TUS JUEGOS ONLINE (y ahí me toco la fibra), etc. Esto es debido al resto de rootkits, hijackers y demás que el gusano llama a través de su rutina, que intuyo que será abrir ciertos puertos o usar los que ya hay abiertos y conectarse a sitios sin que te des cuenta. (bueno realmente ni lo sé ni me importa).

Claro está que un proceso así tan "peligroso" para la seguridad del sistema, ya que campa a sus anchas, su método de infección tiene que ser algo complejo como aprovechar un bug del sistema operativo ... PUES NO!! Bagle se ayuda de un otro virus para realizar la infección. Y este último si que es peligroso. Se trata de un virus de dos patas que se sienta delante del ordenador. Sí, Bagle es un ejecutable (ohhh!!) y si no lo instalamos nosotros mismos es difícil que este por si sólo lo haga. Es decir que a través del adjunto de un mail o un crack o vete a saber a lo que le das click al cabo del día se te instala. Así que si se quiere una buena profilaxis (por cierto buenísimo el corto) contra este tipo de infecciones no hay otra cosa que la de tener un buen hábito de uso (hay que ser buenos eh?XD).

Tratamiento y posología: Bueno vamos por materia. De las herramientas que hay por ahí para eliminar Bagle, si se está infectado por él no funcionarán si se arranca des del propio sistema infectado. Por lo tanto hay que arreglárselas para arrancar desde otro sistema operativo y poder hacer limpieza. Sacar el disco duro y meterlo en otro lado, puede ser una buena opción. Pero muchas veces ni disponemos de otro equipo para meterle el disco duro lleno de "cocos", ni apetece ponerse a desarmar. La solución es arrancar desde un disco autoarrancable con DOS o consola de control en DOS. Yo utilizo BartPE (p.ej.) pero ya digo cualquiera sirve.

Antes de nada es conveniente deshabilitar el Restaurar Sistema.

Se reinicia el ordenador y se arranca desde el CD (o lo que sea) autoarrancable. Una vez en la consola de DOS se buscan los siguientes archivos y se borran:

1-. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
2-. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
3-. C:\WINDOWS\SYSTEM32\WINTEMS.EXE
4-. C:\WINDOWS\system32\MDELK.EXE
5-. C:\Windows\system32\drivers\HIDR.EXE
5-. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

Al igual todos no se encuentran (mejor) pero si haya alguno de ellos quiere decir que se está infectado.

Una vez borrados no quiere decir que ya se esté limpio (ojalá, Bagle lo que infecta es el registro) pero si que dará un pequeño margen tiempo para que cuando se arranque de nuevo el sistema se pueda restaurar todo de nuevo y poder ejecutar los antivirus y demás programas para limpiar malware del sistema.

Así que se arranca normalmente y se instala Elibagla (la descarga está abajo del todo), se intenta hacer utilizable el modo a prueba de fallos de windows (por si no te has dado cuenta el virus lo ha deshabilitado y cuando se arranca en dicho modo da un pantallazo azul) Archivo ejecutable que lo permite.

Se intenta arrancar en modo a prueba de fallos. Y si deja y todavía no se ha instalado el gusano, se vuelve a pasar Elibagla, se instala antivirus, el antiespias y los limpiadores de registro y demás herramientas para evitar infecciones.

Antes de que se pasen, se tienen que borrar unas entradas del registro de windows para que no se vuelvan a activar los rootkits y el gusano. Si no se puede volver a instalar el antivirus y demás quiere decir que los rootkits siguen activos. Se tendrá que volver a arrancar con el cd de arranque. La última vez lo tuve que hacer un par de veces, pero también tengo que decir que no había quitado las entradas en el registro.

Bien se va a <Inicio> ponemos "regedit" y buscamos las siguente entradas
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: drv_st_key = "%User Profile%\Application Data\hidn\hidn2.exe"
Clave: HKEY_CURRENT_USER\Software\FirstRun
Valor: FirstRun = "1"
Al igual en el valor no sale el mismo archivo pero si es de la misma sintaxis seguramente que será otro tipo de malware que está dando la lata. En todo caso eliminar la entrada.

Una vez eliminada la entrada se pasan otra vez los antivirus, antispys, limpiadores de registro y Elibagla por si acaso. Hay que pensar que hay muchos archivos maliciosos que no seríamos capaces de encontrarlos sin estas herramientas. Y si ha habido suerte... a otra cosa mariposa.

Nota: El conocimiento es como agua entre las manos.
Be watter my friend.

...post dedicado a Piticli.


Bibliografía: Google en general


----------------
Now playing: Transfer - 03. Domesticao
via FoxyTunes

3 comentarios:

Sr. Cruji dijo...

Menudo hijo de Bangle. Que bicho más malo. Por lo que he visto te ha marcado. Muy buen tuto, pero solo espero no pillarlo. Prácticare la profilaxis pero NO al "dedillo" como en el corto.
Y pensar que cuando he leido el titulín del post ibas hacer un post soble las Bangels rollu remember.

PaintItBlack dijo...

Creo ke tu mente 80terá te traiciona, pq pone BAGLE no BANGLES... pero bueno ya se ke la canción "Walk like an Egyptian" te marcó un profundo trauma y todas la mañanas te despiertas tatareándola...

Tu con tu nivel no hace falta que sigas la profilaxis al "dedillo" puedes experimentar y ser más hard-ware que soft-ware... pero atente a las consecuencias...

Anónimo dijo...

Creo que voy a dar mucha rabia...
Si os comprais un Mac no tendreis esos problemas....

Je je...