MIELIPIDE No# 7, Bagle-virus (aka Beagle)
Tämä artikkeli antaa hieman tietoa ja
ohjeita tietyntyyppisen Bagle-viruksen
poistoon. Itse alkuperäisestä viruksesta on tehty useita variaatioita, tässä
siis alkuperäisen viruksen kuvaus Kasperskyn sivuilta:
- Bagle.A
Tässä kerrotaan viruslajista
Bagle.SUQ joka kerran oli omassakin koneessa, jostain
ihmeen syystä tästä ei tunnu olevan liikkeellä tarpeeksi
informaatiota, joten laitan
omaani. Moni uskoo siltikin, että Bagle aka Beagle on jo kadonnut,
mutta sen uusi
sukupolvi elää ja leviää useimmissa tapauksissa P2P- ja
Kademlia-verkoista (vertaisverkot)
- Lähestulkoon varma merkki Bagle.SUQ:sta on prosessorin käynti
täysillä ja kahden
satunnaisen numerosarjan sisältävän exe-tiedostojen ilmestymistä
Prosessit-välilehdet
näkymään kun painaa CTRL-ALT-DEL. Virus itse ei tuntunut tekevän
tuhoja tiedostoille,
mutta koneen toimivuus oli järkyttävän hidasta touhua. Virus itse
käyttää seuraavia
tiedostoja apunaan:
C:\WINDOWS\SYSTEM32\mdelk.exe
(Troijalainen spammeri.)
C:\WINDOWS\SYSTEM32\wintems.exe (Troijalainen spammeri.)
C:\WINDOWS\SYSTEM32\DRIVERS\hldrrr.exe (Rootkit-sovellus.)
C:\WINDOWS\SYSTEM32\DRIVERS\srosa.sys (Bagle, Rootkit.)
Sekä hakemistoa:
C:\WINDOWS\SYSTEM32\DRIVERS\downld\ (Täällä ovat viruksen lataamat
tiedostot.)
Itse virusohjelmien poisto on hankalaa, koska ne eivät välttämättä
näy tiedostolis-
tauksessa, mutta komentokehotteessa (cmd) kylläkin, esim.
kirjoittamalla ensin:
CD C:\WINDOWS\SYSTEM32\DRIVERS ja sitten s*.sys saa näkyviin
tiedoston srosa.sys.
Poistaminen itse tapahtunee näin:
1. Paina CTRL-ALT-DELETE ja lopeta kaksi suoritettavaa prosessia,
joiden nimi on
muotoa 144753656.exe.
2. Mene Windows-kansioon ja avaa regedit.exe, täällä valitse "muokkaa"
ja sieltä
"etsi" johon kirjoitat vuorotellen
mdelk.exe, wintems.exe,
hldrrr.exe ja srosa.sys,
jonka jälkeen tuhoat jokaisen rekisteriarvon, joissa mainitaan joku
noista luetel-
luista tiedostoista.
3. Seuraavaksi Käynnistä > Suorita, kirjoita "cmd" ja
komentokehotteessa kirjoitat:
CD C:\WINDOWS\SYSTEM32\ ja Enter, sitten siellä kirjoita "del
mdelk.exe" ja perään
"wintems.exe"
4. Sitten ollessasi yhä komentokehotteessa kansiossa
C:\WINDOWS\SYSTEM32\
kirjoita
CD DRIVERS ja olet kansiossa
C:\WINDOWS\SYSTEM32\DRIVERS.
5. Kansiossa
C:\WINDOWS\SYSTEM32\DRIVERS
kirjoita seuraavat komennot:
- del hldrrr.exe
- del srosa.sys
- del downld
Jossa viimeinen komento tuhoaa kansion del "downld"
tiedostoineen.
6. Koska virus luo itsestään kopioita levykkeille ja muistikorteille,
niin pyri
kirjoitussuojaamaan muistikortit (SD) ja levykkeet. Mikäli
muistikorttisi tai
levykkeesi sisältää noin 800 kt:n kokoisen com-tiedoston, niin
komentokehotteessa
kirjoita esimerkiksi A: sitten del *.com, yleensä siirrettävillä
medioilla ei
normaalisti ole com-tiedostoja. Virus luo levylle toisinaan myös
autorun.inf
-tiedoston, jolla viruksen ilmeisesti on tarkoitus aktivoitua, kun
kone käynnistyy
joko levykkeeltä tai muistikortilta.
Virus käyttää myös hyväksi järjestelmän palautusta sekä
välimuistikansiota
Temporary Internet Files, joten tyhjennä täysin tyhjäksi
välimuistikansio.
Koneen voi ajaa online-virusskannerilla ja sen avulla tuhota kaikki
löydetyt
virustiedostot. Jos järjestelmän palautus on pois päältä, virus ei
myöskään jää
muhimaan sinne.
Kun käynnistät koneen uudestaan, varmista että mitään jäännöksiä
viruksesta ei
enää ole, koska muuten virus pääsee takaisin koneelle. Puhtaan
koneen prossu ei
käykään täysillä.