technomat.net - Allarme giallo per il worm Bagle.at.

Nei giorni scorsi è stato dichiarato l’allarme per le nuove versioni del worm Bagle, il rischio è considerato medio-alto per questo virus che si diffonde via mail e può disattivare molte difese del computer.

Il worm Beagle non è un nuovo virus, ma le sue ultime varianti si sono incattivite a tal punto da farlo considerare a rischio medio-alto.

Il worm si diffonde via e-mail tramite il protocollo SMTP.

Una volta attivatosi il codice maligno è in grado di disattivare l’Internet Connection Firewall (ICF), l’Internet Connection Sharing (ICS) e il Security Center Service di Windows XP.

Il virus copia tutta la rubrica del computer aggredito e si invia nuovamente tramite posta elettronica. Chiaramente il mittente risulta proprio l’infettato.

Bagle.at tenta poi di collegarsi ad un sito a scelta di una lista che ha in dotazione.

A questo punto il sistema è in parte controllabile da remoto e non è schermato contro la cessione di informazioni all’esterno.

L’oggetto delle mail è di solito molto semplice:

• Re:

• Re: Hello

• Re: Hi

• Re: Thank you!

• Re: Thanks :)

Riguardo al messaggio vero e proprio di solito si tratta di una faccina sorridente del tipo:

• :)

• :))

Il file allegato si chiama PRICE o JOKE e ha una delle seguenti estensioni:

• COM

• CPL

• EXE

• SCR

Il worm colpisce Windows 95, 98, ME, NT, 2000, XP.

Segnalazioni si sono avute in Cina, Giappone, Europa e Stati Uniti.

Il worm può anche essere classificato con i seguenti alias: W32.Beagle.AW@mm,

W32/Bagle.bd@MM, I-Worm.Bagle.au, W32/Bagle-AU, Win32.Bagle.AR,

Win32:Beagle-AS, I-Worm/Bagle.AZ

Per rimuovere il codice maligno abbiamo tradotto per voi i consigli di Trend Micro:

Istruzioni per la rimozione manuale:

Ripartire in modalità provvisoria:

» Windows 95

Riavviare il computer.

Premere F8 quando parte il messaggio di Windows 95. Scegliere modalità provvisoria dal menù e spingere invio.

» Windows 98 e ME

Riavviare il computer.

Premere il tasto CTRL fino a che non appare il menu di avvio.

Scegliere la modalità provvisoria e spingere invio.

» Windows NT (VGA mode)

Entrare nel pannello di Controllo.

Doppio click sull’icona di sistema.

Spingere il pulsante di avvio/spegnimento.

Settare il Show List a 10 secondi e dare l’OK per salvare i cambiamenti.

Spegnere e riavviare il computer.

Selezionare la visualizzazione VGA dal menu di avvio.

» Windows 2000

Riavviare il computer

Premere F8 fin quando appare nello schermo in basso la barra di avvio di Windows.

Scegliere la modalità provvisoria nel menu delle opzioni avanzate di Windows e dare invio.

» Windows XP

Riavviare il computer.

Premere F8 dopo l’avvio del boot.

Se il menu di avvio di Windows non compare, provare a riavviare e premere F8 varie volte dopo la schermata di scelta del sistema.

Scegliere la modalità provvisoria nel menu delle opzioni avanzate di Windows e dare l’invio.

Rimuovere I dati di autoavvio dal Registry

Rimuovendo i dati di autoavvio si previene l’esecuzione del codice all’avvio.

Aprire il REGEDIT:

Selezionare Avvio>Esegui, digitare REGEDIT e spingere Invio.

Nel pannello di sinistra fare doppio click su :

HKEY_CURRENT_USER>Software>Microsoft> Windows>CurrentVersion>Run

Nel pannello di destra trovare e cancellare il “file”:

wingo = "%System%wingo.exe"

Chiudere il REGEDIT.

Istruzioni addizionali per Windows ME/XP:

Gli utenti che usano Windows ME e/o XP devono disabilitare il System Restore dal fare lo scanning complete dei sistemi infettati.

A questo punto dovete avviare l’antivirus, fare la scansione completa e rimuovere Worm_Bagle.at.