Bagle - m_hook.sys


Typ rootkita: Kernel-Mode. Metoda: hookowanie SSDT.


Jest to robak mejlowy masowo rozsyłający załącznikowe świństwa, dobrze opisany w bazie F-Secure. Typowo zainfekowany mejl z załącznikiem wygląda następująco:



Deaktywuje antywirusy i firewalle a także obezwładnia takie komponenty Windows jak Automatyczne aktualizacje i zapora. Jest również typem "downloadera" tzn. próbuje łączyć się do innych witryn i ściągać na komputer dalsze infekcje. Ma właściwości rootkitowe. Ukrywa nie tylko siebie ale i inne infekcje (głównie z tej samej rodziny Bagle). Możliwe iż w logu z HijackThis pojawi się coś w stylu poniżej ale niekoniecznie jeśli komponenty zostaną dobrze zamaskowane:



Posługuje się ukrytą usługą sterownikową m_hook, która startuje z nowoutworzonego folderu w folderze Dane aplikacji:

Service C:\Documents and Settings\Nazwa konta\Dane aplikacji\Nazwa folderu\m_hook.sys [MANUAL] m_hook

Przykłady z logów Gmera z ustawionym pokazywaniem Usług:



Całość ukrytej infekcji w poszerzonych logach Gmera:

Log z Gmera: m_hook1.txt
Log z Gmera: m_hook2.txt

W folderze Danych aplikacji jest też tworzony jeszcze jeden folder o nazwie m w którym są pliki: list.oct (lista plików do ściągnięcia) + srvlist.oct (lista serwerów i portów) oraz cała kolekcja wysyłkowa zainfekowanych zipów. Przykładowa zawartość folderu:

Log z Blacklight: m_hook3.txt

Tworzy też dodatkowe pliki C:\temp.zip i C:\error.gif. Ten gif odpowiada za pokazywanie fałszywego komunikatu o uroczej enigmatycznej treści "ERROR":





USUWANIE:

Patrz na forum:

http://www.searchengines.pl/phpbb203/index.php?showtopic=68728&st=0&p=319739&#entry319739

Smaczkiem jest iż baza TrendMicro również zaleca usuwanie Gmerem (może się zasugerowali instrukcjami z SE? ):

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BAGLE.FF&VSect=Sn

UWAGA: Bagle zajmuje się kasowaniem klucza trybu awaryjnego. Instrukcja rekonstrukcji trybu awaryjnego w TYM topiku.




.