Bagle – Wikipedia

Bagle (znany również jako beagle) to trojański zdolne do infekowania systemów operacyjnych Microsoft, ogólnie trudno wyeliminować, które wyłączają antywirus i wykorzystuje technikę rootkit Do ukrycia.
Istnieją dwa warianty wirusa, pierwszy, Bagle.A , nie miał szerokiej propagacji, gdy wariant Bagle.B Rozmnażał się znacznie szybciej i wywołał o wiele więcej szkód.

Pierwszy wariant, Bagle.A, został odkryty 18 stycznia 2004 r., A ze względu na słabą dyfuzję przestała rozprzestrzenić się 28 stycznia 2004 r. Wariant Bagle.B został odkryty 17 lutego 2004 r. I zaplanowano zakończenie swojego Dyfuzja 25 lutego 2004 r.

Łatwym sposobem sprawdzenia, czy komputer, z zamontowanym systemem operacyjnym Microsoft, jest zainfekowany Bagle, jest aktywowanie wyświetlania ukrytych plików. Aby to zrobić, przejdź do „Panel sterowania” i otwórz „Opcje folderów”, w tym momencie kliknij „Wyświetl ukryte pliki” i potwierdź element. Jeśli na twoim komputerze znajduje się wyżej wymieniony wirus, właśnie zmodyfikowana opcja powróci jak przed kilkoma sekundami. Bagle w rzeczywistości blokuje opcję uniknięcia prześledzenia. Ponadto, jeśli wstawiasz drążek USB lub inną wsparcie zewnętrzne, ikona w „Zasobach komputerowych” zmieni kształt, stając się otwartym żółtym folderem.
Aby uniknąć zarażenia wirusem, przejdź do zasobów komputerowych, kliknij prawym przyciskiem na pendrive, aby otworzyć i kliknij Eksplorację. W ten sposób otwarcie wirusa zostanie pomijane.

Podobnie jak wszystkie robaki, Bagle wywołuje również swoje szkodliwe efekty. Jako wirus ukrycia, Bagle natychmiast próbuje się sprzyjać lub blokuje antywirus E Zapora i/lub dowolne inne oprogramowanie do ochrony systemu, w którym przebywa. Zapobiega dostępowi do dowolnego pliku wykonywalnego. W niektórych oprogramowaniach, szczególnie w oprogramowaniu antywirusowym, gdy tylko podjęto próbę wykonania, zgłaszany jest błąd systemu (” Win32 to aplikacja niewiarygodna “). Tryb awaryjny ( tryb bezpieczeństwa ) Zapobiega, aby użytkownik nie miał możliwości skanowania. W najgorszych przypadkach Bagle może również dezaktywować niektórych sterowników, takich jak ten poświęcony karcie dźwiękowej, a bardziej po prostu spowodować, że komputer często się ponownie uruchamia. Zasadniczo Bagle bardzo spowalnia prędkość komputera, ponieważ używa pamięci RAM.
Zapobiega również dostępom do witryn najsłynniejszego antywirusa (NOD32, AVAST, AVG itp.), Do wszystkich witryn Microsoft i strony do pobrania aktualizacji Windows Messenger , sprawiając, że wyglądają jako nieistniejące lub kierując przeglądarkę do strony wyszukiwania nie znalezionego witryn. Ponadto wszystkie patyki USB i karty pamięci, które są wstawiane do zainfekowanego komputera, są automatycznie zainfekowane. Jeśli zostaną one wstawione na innym komputerze, zarażają to po kolei.
Kolejną cechą tego trojana jest zarażanie archiwów i plików zawartych na komputerze, w każdym folderze tworzony jest plik „crack.exe”

Bagle zwykle wygląda jak Generator kluczy , zwykle z ikoną w kształcie krzyżowym, niebieskim kluczem, szarą maską, ikoną w kształcie oka lub oka w kształcie żółtej łatki.
Nazwa pliku jest zwykle zaufana.exe, patch.exe, run.exe lub crack.exe.
Jego nazwa zmienia się w niektórych wariantach wirusa, na przykład „Mitglieder”, ale operacja jest bardzo podobna.

W jednym z wariantów wirus jest łatwo rozpoznawalny, ponieważ instaluje fałszywą aplikację, która pozwoliłaby na odczyt czarnych skrzynek samolotów (NTSB Investigators Flight Rejestrator).

Kolejnym sposobem na uświadomienie sobie obecności ciągłej infekcji jest otwarcie menedżera zadań i sprawdzenie obecności procesu o nazwie Patch.exe, który ma Neosoft jako opis.

Trojan wymaga interwencji użytkownika w celu zainfekowania systemu. Bagle znajduje się w sieci P2P (takiej jak EMULE), jako przymocowana do e-maila lub karty USB lub karty pamięci. Znajduje się w formie plików wykonywalnych, szczególnie w pękać Oprogramowanie, w skompresowanym archiwum, takie jak .zip lub .rar. W tym celu, przed otwarciem plik skompresowanego, należy go skanować za pomocą określonej usługi zewnętrznej (na przykład „virustotal”). ^[Pierwszy] Do tej pory wykrywają to prawie wszystkie antywirusowe.

Ponieważ usunięcie jest dość złożone, istnieje wiele programów, nawet bezpłatnych, które wykonują to zadanie. Do tej pory nawet wielu antywirusowi udaje się wykryć i usunąć worki. Jednym z nich jest Avira Antivirus, chociaż w najnowszych wersjach trojana ten ostatni antywirus jest również wyłączony.
Konieczne jest jednak działanie w możliwie najkrótszym czasie, aby uniknąć rozprzestrzeniania się wirusa.

Największa trudność jest spowodowana przez sterownik jądra, który wirus instaluje w systemie:
C: WindowsSystem32Drivesrosa.sys.
Ten sterownik nie pozwala wyświetlić żadnego pliku z nazwą dowolnego modułu wirusa,
Na przykład pełne imię i nazwisko sterownika srosa.sys lub pliku hldrr.exe itp.
W rzeczywistości innym sposobem sprawdzenia, czy jesteś zainfekowany, jest otwarcie edytora tekstu i zapisanie pliku z nazwą
SROSA. SYS na komputerze i sprawdź, czy jest obecny.

W obecności „crack.exe” po prostu usuń plik lub dezynfekuj go odpowiednim antywirusem bez uruchamiania go. W przeciwnym razie infekcja jest natychmiastowa.

Niezwykle potężne i skuteczne oprogramowanie to Combofix, do pobrania za darmo ze strony producenta, nawet jeśli nie zalecasz użycia go bez nadzoru eksperta.

Narzędzia i usługi, które pozwalają na usunięcie torebek [[[ zmiana |. Modifica Wikitesto ]

• Findykill
• Elibagla
• Spybot Search & Destroy . Wiadomo jednak, że najnowsze wersje wirusa sprawiają, że Spybot S&D nie nadaje się do użytku.
• Combofix

2. Kompletny przewodnik po usunięciu Wniesiony 14 lipca 2014 r. W archiwum internetowym.