Bagle
Bagle è un trojan generalmente difficile da eliminare, che disabilita gli antivirus e usa la tecnica del rootkit per occultarsi. Un modo semplice per sapere se si è infettati da Bagle è vedere se in "Opzioni cartella" nel "Pannello di controllo" cliccando su "Visualizza File nascosti" e confermando la voce ritornerà come prima dopo qualche secondo, infatti Bagle provvede a bloccare l'opzione per evitare di essere rintracciato. Inoltre, se si inserisce una chiavetta USB o un'altra scheda di memoria l'icona in "Risorse del computer" cambierà forma, diventando una cartella gialla aperta. Per evitare di prendersi questo virus andare su Risorse del computer,cliccare con il tasto destro sulla pendrive da aprire e cliccare Esplora.Così verrà bypassata l'apertura del virus
Gli effetti di Bagle
Come tutti i Worm, anche Bagle produce i suoi effetti dannosi. Come virus stealth, Bagle cerca subito di auto-proteggersi, ovvero blocca antivirus e firewall e/o qualsiasi altro software per la protezione del sistema in cui risiede. Impedisce l'accesso a qualsiasi file eseguibile. In alcuni software, e soprattutto nei software antivirus, dà un errore di sistema ("Win32 è un'applicazione non valida"). La modalità provvisoria (safe mode) viene impedita in modo che l'utente non abbia la possibilità di eseguire delle scansioni. Nei peggiori casi, Bagle potrebbe anche disattivare alcuni driver, come quello dedicato alla scheda audio, o più semplicemente causare il frequente riavvio del pc. Generalmente, Bagle rallenta molto la velocità del Pc, poiché sfrutta la memoria ram. Inoltre impedisce agli utenti di accedere ai siti dei piu famosi antivirus (nod32, avast, avg, ecc.), a tutti i siti microsoft e al sito per scaricare l'aggiornamento di Windows Messenger, facendoli apparire come inesistenti o indirizzando il browser verso la pagina di ricerca dei siti non trovati. Inoltre, tutte le chiavette USB e le schede di memoria che vengono inserite nel Pc infetto vengono automaticamente infettate, e se queste vengono inserite in un altro Pc, lo infetteranno a loro volta.
Come si presenta Bagle
Bagle si presenta solitamente come un Keygen, di solito con un'icona a forma di croce, una chiave azzurra, una maschera grigia o un'icona a forma di occhio. Il nome del file solitamente è chiamato trusted.exe, patch.exe o run.exe. Il suo nome cambia in alcune varianti del virus, ad esempio "Mitglieder", ma il funzionamento è molto simile.
Come prevenire Bagle e simili
Il trojan necessita dell'intervento dell'utente per infettare il sistema. Bagle si trova nelle rete P2P (come ad esempio eMule), come allegato ad una e-mail o in una chiavetta USB o scheda di memoria. Si trova sotto forma di file eseguibile, soprattutto nei crack dei software, all'interno di un archivio compresso, come .zip o .rar. Per questo, prima di aprire un file compresso, è opportuno eseguirne la scansione con uno specifico servizio esterno (per esempio "Virus Total", gratuito).[1]
Come rimuovere Bagle
Dato che la rimozione è piuttosto complessa,esistono molti programmi, anche gratuiti, che svolgono questo compito. Ormai anche molti antivirus riescono a rilevare e rimuovere Bagle. Uno di questi è l'Avira AntiVir, anche se nelle ultime versione del trojan anche quest'ultimo antivirus viene disabilitato. È però necessario agire nel minor tempo possibile,per evitare la diffusione del virus.
La difficoltà maggiore è causata da un Kernel driver che il virus installa nel systema: C:\windows\system32\drivers\SROSA.sys. Questo driver non permette di visualizzare qualsiasi file che abbia il nome di un modulo qualsiasi del virus, per esempio il nome completo del suo driver SROSA.SYS oppure il file HLDRR.EXE, ecc.. Infatti, un altro modo per verificare se si è infetti è aprire un editor di testo e salvare un file con il nome SROSA.SYS sul desktop,e verificare se è presente.
Tool e servizi che permettono la rimozione di Bagle
- Elibagla, scaricabile da questo sito: Zonavirus.
- SpyBot Search & Destroy, scaricabile da questo sito: Safer-Networking
