微点交流论坛 » 主动防御 » winupgro.exe病毒全球肆虐
本文转自草莽书生的博客:http://hi.baidu.com/egomoo/blog/ ... dcc35e242df25a.html
==============================================================================================
中招现象:
1. 任务管理器中winupgro.exe进程占90%-100%的CPU资源,
2. 屏蔽国内国外众多杀毒软件,启动杀毒软件后,提示杀毒软件不是有效win32文件
NOD,AVG anti-spyware,卡巴,德国小红伞, HijackThis, Spybot, Defender, or online scanners F-Secure and Kaspersky,Malwarebytes' Anti-Malware and ComboFix
3.破坏安全模式,进入即可蓝屏
google搜索出现很多法语,德语的网站讨论winupgro的删除方法,可见其传播之广。
目前只有根据系统日志手工删除的方法。
病毒样本分析见台湾一版主的帖子
深度技术论坛求租帖日志
卡卡论坛求助帖链接
国外论坛Geeksgot求助帖
如何查杀详见:
利用卡巴AVZ脚本执行工具删除winupgro.exe
中文翻译:下周AVZ工具后,
File->Custom scripts,复制以下脚本执行即可
=========================================
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('%APPDATA%\m\flec006.exe','');
QuarantineFile('%APPDATA%\drivers\winupgro.Exe','');
QuarantineFile('%APPDATA%\drivers\srosa2.sys','');
QuarantineFile('%APPDATA%\drivers\srosa.Sys','');
QuarantineFile('%WinDir%\system32\wintems.exe','');
QuarantineFile('%WinDir%\system32\mdelk.exe','');
DeleteFile('%APPDATA%\m\flec006.exe');
DeleteFile('%APPDATA%\drivers\winupgro.Exe');
DeleteFile('%APPDATA%\drivers\srosa2.sys');
DeleteFile('%APPDATA%\drivers\srosa.Sys');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%APPDATA%\drivers\download', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
=========================================================
http://cache.baidu.com/c?m=9d78d ... 2b45&user=baidu
winupgro 干掉了卡巴
winupgro,有人知道这个病毒或者木马吗?我在元旦期间中了这个毒。它把我的卡巴斯基7.0KIS直接屏蔽了。用了国内所有的反病毒和杀木马的软件都不起作用。最后只能重装系统。
该病毒现象是关闭杀毒软件,再启动杀毒软件后,提示杀毒软件不是有效win32文件。进程中一直有winupgro.exe。停不了。删除C盘中所有存放winupgro.exe位置(参考国外朋友的解决方案),重启后立即又恢复。该病毒或者木马导致机器性能下降,破环防毒软件,不能进安全模式。
我没有试过卡巴2009是不是能够挡住它,不过卡巴7肯定是没有反应。安全卫士360只能检测出它是一个恶意插件,但是执行清理就黑屏死机。金山,瑞星都不起作用。连国外一些有名的进程杀手软件都被它直接屏蔽。
有兴趣的朋友可以到google搜索一个样本看看,切忌在虚拟机中执行。
希望卡巴能解决这个木马。
=========================================================
http://soft.deepin.org/read-htm-tid-880357.html
晓月来看下,K掉小红伞的木马,胆大心细者亦可试验 4楼重发。
运行后会终止小红伞,在系统文件夹下生成winfilse.exe, srosa.sys 等文件,重启系统。开始下载大量木马程序。
ComodoFirewallPro我的是2.4也没防住,重启后不能开启。
…………………………………………
最后进入WinPE手动删除文件解决。
晓月来帮忙看下,好像不是什么新木马,感染后可以识别为TR/Bagle.Gen.B,可是中毒前小红伞就是不报(高启发下也是)。
附件为木马,从emule上下载下来的。慎入!!
4楼重发。
这个exe运行后:
立即结束所有托盘进程。包括小红伞的avgnt,并将最先结束的那个进程的文件替换为病毒文件,以便下次重启运行。
然后创建注册表启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run的drvsyskit指向C:\WINDOWS\system32\drivers\winfilse.exe
加载驱动sK9Ou0s,对应文件C:\WINDOWS\system32\drivers\srosa2.sys,
加载驱动srosa, 对应文件:C:\WINDOWS\system32\drivers\srosa.sys
利用这个驱动来强行结束小红伞的所有监控服务。
删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot破坏所有安全模式。(此项删除的注册表较多,部分内容需要到pe下外挂注册表文件进行修复)
删除所有文件夹名称为shared的文件夹及其子文件夹及文件
利用钩子,隐藏自身文件,隐藏的文件有C:\WINDOWS\system32\drivers\winfilse.exe、C:\WINDOWS\system32\drivers\downld文件夹、C:\WINDOWS\system32\drivers\winfilse.exe\srosa.sys。
隐藏运行进程C:\WINDOWS\system32\drivers\winfilse.exe
进程C:\WINDOWS\system32\drivers\winfilse.exe连接到多个地址下载文件。同时创建C:\WINDOWS\system32\drivers\downld\随机数字命名的一些.exe
禁止wincheck运行、禁止冰刃运行。
制定了相应规则的eq是完全可以防御的,我在测试时是全部放行让病毒发作的。
mpkill,病毒技压群雄,可耐唯败微点
[ Last edited by 独孤不平 on 2009-1-16 at 23:11 ]
|
[ 本帖最后由 Nblock 于 2009-1-17 11:28 编辑 ] |