O malware Bagle é, na verdade, um verme informático que é propagado, principalmente, pelos softwares P2P e através de falsos cracks (= softwares hackeados !) ou, e-mails.
Ao fazer uma busca através de um software P2P, o usuário acredita estar baixando um crack para um software quando, na verdade, ele está P2P instalando, ele mesmo, o verme em seu computador. O arquivo.exe dentro do arquivo é, na realidade, o verme Bagle !
Os nomes dos softwares pirateados são variados e comportam uma gama enorme de tipos de programas ordinários , com o objetivo de se « esconder » !
Este verme é, em geral, difícil a ser eliminado !

Sintomas causados pela infecção

Ao instalá-lo, o verme exibe uma janela pedindo para selecionar um arquivo a ser rachado (to crack). É uma mentira pois, obviamente, ele não vai « crackar » nenhum arquivo !



Mensagem obtida depois da busca :


Seu primeiro passo é o de infectar um arquivo são, no arranque : depois da leitura do registro, ele eliminará a chave safeboot que ajuda no arranque, em modo de segurança. Ele também neutraliza o funcionamento do antivírus e do firewall, impedindo a reinstalação dos mesmos. Você realizará, rapidamente, que uma grande parte dos programas de segurança não poderão ser executados e este alerta de erro aparecerá : "aplicativo win32 inválido"

Os arquivos da infecção Bagle são :

• wintems.exe
• hldrrr.exe
• srosa.sys
• srosa2.sys
• winfilse.exe
• flec006.exe
• mdelk.exe
• winupgro.exe
• wfsintwq.sys
• 111wfs1intwq.sys
• 11s11ro1s1a2.sys
• etc

Cuidado ! Não reinicie, de maneira nehuma, em modo de segurança passando pelo comando msconfig pois você corre o risco de ver o Windows reiniciar, sem parar, indefinidamente !

Preliminar

• Importante 1 : se você tiver o Vista, você deve desativar o UAC durante a desinfecção.
• Importante 2 : se você tiver o TeaTimer (o residente do Spybot), desative-o por que ele pode atrapalhar a desinfecção.
  • Inicie o Spybot, clique em Modo, marque Modo avançado.
  • À esquerda, clique em Ferramentase, em Residente.
  • Desmarque a casa Residente "TeaTimer" e saia do Spybot :

Métodos de desinfecção

Soluções possíveis!

Reparar o acesso em modo de segurança

Você pode começar consertando o acesso ao modo de segurança, baixando o seguinte utilitário, ou um destes arquivos *.reg (de acordo com a versão do Windows).

1° Método : FindyKill

Opção 1 :

• Baixe e instale FindyKill
• Conecte as fontes de dados externas ao seu computador (pendrive USB, disco rígido externo, etc) susceptíveis de terem sido infectadas, sem abrí-las.
• Clique duas vezes no atalho FindyKill no desktop (no Vista, clique no botão direito do mouse, no atalho FindyKill e selecione Executar como administrador).
• Escolha a opção 1 (Busca).
• Deixe a ferramenta trabalhar.
• Depois, poste o relatório FindyKill.txt que aparecerá, num fórum.
• Observação : o relatório FindyKill.txt será salvo na raíz do disco. (C:\FindyKill.txt)

Opção 2 :

• Conecte as fontes de dados externas ao seu computador (pendrive USB, disco rígido externo, etc) susceptíveis de terem sido infectadas, sem abrí-las.
• Clique duas vezes no atalho FindyKill no desktop (no Vista, clique no botão direito do mouse, no atalho FindyKill e selecione Executar como administrador).
• Escolha a opção 2 (Remoção).
• Sua área de trabalho desaparecerá e seu PC se reinicializará.
• No arranque , FindyKill escaneará o seu . Deixe-o trabalhar.
• Depois, poste o relatório FindyKill.txt que aparecerá no desktop, em um fórum.
• Observação : o relatório FindyKill.txt será salvo na raíz do disco. (C:\FindyKill.txt)

sobre o FindyKill.

2° Método : Combofix

• Clique o botão da direita do mouse aqui.
• Escolha : Salvar o alvo do link como
• Escolha a área de trabalho como destino.
• No campo "Nome do arquivo", renomear ComboFix.exe em CCM.exe por exemple e, salvar.
• Cuidado ! A etapa de renomeação é obrigatória por que você pode ver aparecer a mensagem "ComboFix.exe é um aplicativo win32 inválido" e tornar, assim, o fix completamente ineficaz.
• Desconecte-se da internet e feche todas as aplicações e programas.
• Clique duas vezes em CCM.exe para executar o fix (No Vista, é preciso clicar à direita do mouse sur CCM.exe e escolher Executar como administrador).
• Aceite o alerta e a instalação do Console de recuperação (No XP).
• O relatório será criado na raíz: C:\Combofix.txt

3° Método : Malwarebytes'

Esta ótima ferramenta tem a particularidade de detectar completamente a infecção Bagle, no entanto, ela só é eficaz se você utilizar Elibagla logo antes, para neutralizar o arquivo infectado localizado em em 04 (HijackThis) ou se 04 já foi eliminado antes.

• Baixe MalwareBytes' Anti-Malware (by RubbeR DuckY) em seu desktop.
• Instale o software.
  • Se você não tiver o arquivo COMCTL32.OCX, você poderá baixá-lo aqui.
• Faça as atualizações (Clique em Atualização e busque-as).
• Inicie em modo de segurança.
• Execute o MalwareBytes' Anti-Malware, clique em Executar um exame completo e Buscar e, selecione todos os seus discos rígidos.
• Quando a análise terminar, clique em remover (Se uma mensagem pedir para você reinicializar o seu PC, aceite !)

• Um relatório será criado, salve-o para reencontrá-lo quando precisar.

Dicas Práticas

Linha de comando útil para o XP/Vista

Esta dica é destinada, principalmente, aos usuários experientes e aqueles que ajudam nos fóruns Vírus/Segurança.
O falso crack que se copia no lugar de um arquivo tem como particularidade, a utilização de um protetor de arquivos : o Themida.
Este comando é capaz de mostrar a presença de arquivos infectados ligados ao Bagle e escondidos por este protetor de arquivos ; abra o prompt de comando e entre a seguinte linha :
findstr /S /I /M /L "Themida" C:\*.exe>>"%systemdrive%\Startvir.txt"

O arquivo Startvir.txt que será criado na raíz « C:\Startvir.txt » listará os arquivos suspeitos encontrados. Depois da interpretação dos resultados, basta remover os arquivos.

Note que ainda existem vários métodos para se livrar deste verme !

Verificação

É aconselhável fazer um escaneio on-line para ver se não restam mais aplicações infectadas.

Escaneamento on-line com o Kaspersky.

Desativar/Reativar a restauração do sistema

É preciso desativar e reativar a restauração do sistema para purgá-lo pois os pontos de restauração podem ser infectados (Pelo Bagle por exemplo) :

• Para o XP.
• Para o Vista.

Se você tiver dificuldade para remover este verme que, somado à outras infecções, pode ser muito difícil à desalojar, não deixe de postar uma mensagem no fórum Vírus/Segurança explicando, rapidamente, as operações efetuadas e os problemas encontrados.

Artigo original publicado por Green Day