独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#1 winupgro.exe病毒全球肆虐
本文转自草莽书生的博客:http://hi.baidu.com/egomoo/blog/ ... dcc35e242df25a.html
==============================================================================================
中招现象:
1. 任务管理器中winupgro.exe进程占90%-100%的CPU资源,
2. 屏蔽国内国外众多杀毒软件,启动杀毒软件后,提示杀毒软件不是有效win32文件
NOD,AVG anti-spyware,卡巴,德国小红伞, HijackThis, Spybot, Defender, or online scanners F-Secure and Kaspersky,Malwarebytes' Anti-Malware and ComboFix
3.破坏安全模式,进入即可蓝屏
google搜索出现很多法语,德语的网站讨论winupgro的删除方法,可见其传播之广。
目前只有根据系统日志手工删除的方法。
病毒样本分析见台湾一版主的帖子
深度技术论坛求租帖日志
卡卡论坛求助帖链接
国外论坛Geeksgot求助帖
如何查杀详见:
利用卡巴AVZ脚本执行工具删除winupgro.exe
中文翻译:下周AVZ工具后,
File->Custom scripts,复制以下脚本执行即可
=========================================
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('%APPDATA%\m\flec006.exe','');
QuarantineFile('%APPDATA%\drivers\winupgro.Exe','');
QuarantineFile('%APPDATA%\drivers\srosa2.sys','');
QuarantineFile('%APPDATA%\drivers\srosa.Sys','');
QuarantineFile('%WinDir%\system32\wintems.exe','');
QuarantineFile('%WinDir%\system32\mdelk.exe','');
DeleteFile('%APPDATA%\m\flec006.exe');
DeleteFile('%APPDATA%\drivers\winupgro.Exe');
DeleteFile('%APPDATA%\drivers\srosa2.sys');
DeleteFile('%APPDATA%\drivers\srosa.Sys');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%APPDATA%\drivers\download', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
=========================================================
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2009-1-16 22:26 |
|
独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#2
http://cache.baidu.com/c?m=9d78d ... 2b45&user=baidu
winupgro 干掉了卡巴
winupgro,有人知道这个病毒或者木马吗?我在元旦期间中了这个毒。它把我的卡巴斯基7.0KIS直接屏蔽了。用了国内所有的反病毒和杀木马的软件都不起作用。最后只能重装系统。
该病毒现象是关闭杀毒软件,再启动杀毒软件后,提示杀毒软件不是有效win32文件。进程中一直有winupgro.exe。停不了。删除C盘中所有存放winupgro.exe位置(参考国外朋友的解决方案),重启后立即又恢复。该病毒或者木马导致机器性能下降,破环防毒软件,不能进安全模式。
我没有试过卡巴2009是不是能够挡住它,不过卡巴7肯定是没有反应。安全卫士360只能检测出它是一个恶意插件,但是执行清理就黑屏死机。金山,瑞星都不起作用。连国外一些有名的进程杀手软件都被它直接屏蔽。
有兴趣的朋友可以到google搜索一个样本看看,切忌在虚拟机中执行。
希望卡巴能解决这个木马。
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-16 22:27 |
|
独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#3
不知道微点怎么样,有样本的贴个图片
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-16 22:28 |
|
独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#4
http://soft.deepin.org/read-htm-tid-880357.html
晓月来看下,K掉小红伞的木马,胆大心细者亦可试验 4楼重发。
运行后会终止小红伞,在系统文件夹下生成winfilse.exe, srosa.sys 等文件,重启系统。开始下载大量木马程序。
ComodoFirewallPro我的是2.4也没防住,重启后不能开启。
…………………………………………
最后进入WinPE手动删除文件解决。
晓月来帮忙看下,好像不是什么新木马,感染后可以识别为TR/Bagle.Gen.B,可是中毒前小红伞就是不报(高启发下也是)。
附件为木马,从emule上下载下来的。慎入!!
4楼重发。
这个exe运行后:
立即结束所有托盘进程。包括小红伞的avgnt,并将最先结束的那个进程的文件替换为病毒文件,以便下次重启运行。
然后创建注册表启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run的drvsyskit指向C:\WINDOWS\system32\drivers\winfilse.exe
加载驱动sK9Ou0s,对应文件C:\WINDOWS\system32\drivers\srosa2.sys,
加载驱动srosa, 对应文件:C:\WINDOWS\system32\drivers\srosa.sys
利用这个驱动来强行结束小红伞的所有监控服务。
删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot破坏所有安全模式。(此项删除的注册表较多,部分内容需要到pe下外挂注册表文件进行修复)
删除所有文件夹名称为shared的文件夹及其子文件夹及文件
利用钩子,隐藏自身文件,隐藏的文件有C:\WINDOWS\system32\drivers\winfilse.exe、C:\WINDOWS\system32\drivers\downld文件夹、C:\WINDOWS\system32\drivers\winfilse.exe\srosa.sys。
隐藏运行进程C:\WINDOWS\system32\drivers\winfilse.exe
进程C:\WINDOWS\system32\drivers\winfilse.exe连接到多个地址下载文件。同时创建C:\WINDOWS\system32\drivers\downld\随机数字命名的一些.exe
禁止wincheck运行、禁止冰刃运行。
制定了相应规则的eq是完全可以防御的,我在测试时是全部放行让病毒发作的。
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-16 22:45 |
|
独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#5 mpkill,病毒技压群雄,可耐唯败微点
[ Last edited by 独孤不平 on 2009-1-16 at 23:11 ]
附件
1:
killprocess.JPG
(2009-1-16 22:47, 105.25 K,下载次数: 61)
附件
2:
mpkill.JPG
(2009-1-16 22:47, 57.04 K,下载次数: 72)
附件
3:
mpkill2.JPG
(2009-1-16 22:49, 57.87 K,下载次数: 20)
附件
4:
mpkill4.JPG
(2009-1-16 23:08, 113.14 K,下载次数: 47)
附件
5:
mpkill5.JPG
(2009-1-16 23:10, 121.33 K,下载次数: 54)
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-16 22:46 |
|
御剑临风
禁止发言
威武大将军
积分 2135
发帖 2192
注册 2008-8-22
|
#6
楼主有样本吗?有的话 我在虚拟机上测一下微点。
不过想应该对微点不是什么大问题。。。呵呵
| |
※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-16 22:48 |
|
点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
|
|
2009-1-17 10:01 |
|
独孤不平
注册用户
积分 128
发帖 122
注册 2008-10-3
|
#8
| Quote: | Originally posted by 点饭的百度空间 at 2009-1-17 10:01:
这毒厉害 |
|
这毒很厉害。。。昨天见识过了,可惜到年底了。。。。。。
| |
※ ※ ※ 本文纯属【独孤不平】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-17 11:48 |
|
donghao
新手上路
积分 8
发帖 8
注册 2009-1-18
|
#9
微点一直很好
| |
※ ※ ※ 本文纯属【donghao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-18 12:51 |
|
御剑临风
禁止发言
威武大将军
积分 2135
发帖 2192
注册 2008-8-22
|
#10
呵呵,在牛的病毒还是被微点干了,支持微点
| |
※ ※ ※ 本文纯属【御剑临风】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2009-1-18 13:15 |
|
