查看: 19697|回复: 57
收起左侧

[病毒样本] 病毒winupgro.exe全球肆虐技压群雄,可耐唯败东方微点

[复制链接]
Nblock
发表于 2009-1-17 09:49:59 | 显示全部楼层 |阅读模式


微点交流论坛 » 主动防御 » winupgro.exe病毒全球肆虐

本文转自草莽书生的博客:http://hi.baidu.com/egomoo/blog/ ... dcc35e242df25a.html
==============================================================================================
中招现象:

1. 任务管理器中winupgro.exe进程占90%-100%的CPU资源,
2. 屏蔽国内国外众多杀毒软件,启动杀毒软件后,提示杀毒软件不是有效win32文件
NOD,AVG anti-spyware,卡巴,德国小红伞, HijackThis, Spybot, Defender, or online scanners F-Secure and Kaspersky,Malwarebytes' Anti-Malware and ComboFix
3.破坏安全模式,进入即可蓝屏

google搜索出现很多法语,德语的网站讨论winupgro的删除方法,可见其传播之广。

目前只有根据系统日志手工删除的方法。
病毒样本分析见台湾一版主的帖子

深度技术论坛求租帖日志

卡卡论坛求助帖链接

国外论坛Geeksgot求助帖

如何查杀详见:

利用卡巴AVZ脚本执行工具删除winupgro.exe

中文翻译:下周AVZ工具后,
File->Custom scripts,复制以下脚本执行即可
=========================================
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('%APPDATA%\m\flec006.exe','');
QuarantineFile('%APPDATA%\drivers\winupgro.Exe','');
QuarantineFile('%APPDATA%\drivers\srosa2.sys','');
QuarantineFile('%APPDATA%\drivers\srosa.Sys','');
QuarantineFile('%WinDir%\system32\wintems.exe','');
QuarantineFile('%WinDir%\system32\mdelk.exe','');
DeleteFile('%APPDATA%\m\flec006.exe');
DeleteFile('%APPDATA%\drivers\winupgro.Exe');
DeleteFile('%APPDATA%\drivers\srosa2.sys');
DeleteFile('%APPDATA%\drivers\srosa.Sys');
DeleteFileMask('%Tmp%', '*.*', true);
DeleteFileMask('%APPDATA%\drivers\download', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
=========================================================



http://cache.baidu.com/c?m=9d78d ... 2b45&user=baidu

winupgro 干掉了卡巴
winupgro,有人知道这个病毒或者木马吗?我在元旦期间中了这个毒。它把我的卡巴斯基7.0KIS直接屏蔽了。用了国内所有的反病毒和杀木马的软件都不起作用。最后只能重装系统。

该病毒现象是关闭杀毒软件,再启动杀毒软件后,提示杀毒软件不是有效win32文件。进程中一直有winupgro.exe。停不了。删除C盘中所有存放winupgro.exe位置(参考国外朋友的解决方案),重启后立即又恢复。该病毒或者木马导致机器性能下降,破环防毒软件,不能进安全模式。

我没有试过卡巴2009是不是能够挡住它,不过卡巴7肯定是没有反应。安全卫士360只能检测出它是一个恶意插件,但是执行清理就黑屏死机。金山,瑞星都不起作用。连国外一些有名的进程杀手软件都被它直接屏蔽。

有兴趣的朋友可以到google搜索一个样本看看,切忌在虚拟机中执行。

希望卡巴能解决这个木马。

=========================================================


http://soft.deepin.org/read-htm-tid-880357.html

晓月来看下,K掉小红伞的木马,胆大心细者亦可试验 4楼重发。
运行后会终止小红伞,在系统文件夹下生成winfilse.exe, srosa.sys 等文件,重启系统。开始下载大量木马程序。
ComodoFirewallPro我的是2.4也没防住,重启后不能开启。

…………………………………………
最后进入WinPE手动删除文件解决。

晓月来帮忙看下,好像不是什么新木马,感染后可以识别为TR/Bagle.Gen.B,可是中毒前小红伞就是不报(高启发下也是)。
附件为木马,从emule上下载下来的。慎入!!

4楼重发。

这个exe运行后:

立即结束所有托盘进程。包括小红伞的avgnt,并将最先结束的那个进程的文件替换为病毒文件,以便下次重启运行。

然后创建注册表启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run的drvsyskit指向C:\WINDOWS\system32\drivers\winfilse.exe

加载驱动sK9Ou0s,对应文件C:\WINDOWS\system32\drivers\srosa2.sys,
加载驱动srosa, 对应文件:C:\WINDOWS\system32\drivers\srosa.sys
利用这个驱动来强行结束小红伞的所有监控服务。


删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot破坏所有安全模式。(此项删除的注册表较多,部分内容需要到pe下外挂注册表文件进行修复)

删除所有文件夹名称为shared的文件夹及其子文件夹及文件

利用钩子,隐藏自身文件,隐藏的文件有C:\WINDOWS\system32\drivers\winfilse.exe、C:\WINDOWS\system32\drivers\downld文件夹、C:\WINDOWS\system32\drivers\winfilse.exe\srosa.sys。

隐藏运行进程C:\WINDOWS\system32\drivers\winfilse.exe

进程C:\WINDOWS\system32\drivers\winfilse.exe连接到多个地址下载文件。同时创建C:\WINDOWS\system32\drivers\downld\随机数字命名的一些.exe

禁止wincheck运行、禁止冰刃运行。

制定了相应规则的eq是完全可以防御的,我在测试时是全部放行让病毒发作的。


mpkill,病毒技压群雄,可耐唯败微点

[ Last edited by 独孤不平 on 2009-1-16 at 23:11 ]












[ 本帖最后由 Nblock 于 2009-1-17 11:28 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
紫夜篝火
发表于 2009-1-17 09:53:05 | 显示全部楼层
企业版咖啡对付它咋样?
saga3721
发表于 2009-1-17 09:56:30 | 显示全部楼层
已经入库了
'TR/Dldr.Bagle.afv [trojan]'
sunvhao
发表于 2009-1-17 09:58:59 | 显示全部楼层
费尔已经把它干掉了
su-tt
发表于 2009-1-17 10:05:22 | 显示全部楼层
楼主你辛苦了,贴这么多图
C:\Documents and Settings\Administrator\桌面\Climate_calculator_1[1].0.0.0.zip > ZIP > serial.exe - Win32/Bagle.QH 蠕虫
g98412365
发表于 2009-1-17 10:21:57 | 显示全部楼层
真凶残的病毒。。。。。。。
kkgh
发表于 2009-1-17 10:24:51 | 显示全部楼层
C:\Documents and Settings\Administrator.LY\桌面\serial.exe         已检测: Trojan-Downloader.Win32.Bagle!IK      IK已经入库
zhaoqy03
发表于 2009-1-17 10:28:00 | 显示全部楼层
暂时,伞p无视。全开高启发
——————————————————————————
不好意思,扫描设置默认的没有选择压缩包,选上就好了

[ 本帖最后由 zhaoqy03 于 2009-1-17 11:09 编辑 ]
saga3721
发表于 2009-1-17 10:47:15 | 显示全部楼层

回复 8楼 zhaoqy03 的帖子

无论红伞是否已经入库才杀,总也已经是一扫就报了的,报法见3楼
zhaoqy03
发表于 2009-1-17 10:53:37 | 显示全部楼层

回复 9楼 saga3721 的帖子

多引擎扫描大多数都已经如入库了
扫描结果 :          78%的杀软(29/37)报告发现病毒
时间 :          2009/01/17 10:00:38 (CST)
软件名称         引擎版本        病毒库版本        病毒库时间        扫描结果        时间
a-squared        4.0.0.29        20090116183424        2009-01-16        Trojan-Downloader.Win32.Bagle!IK        2.257
AntiVir        7.9.0.57        7.1.1.134        2009-01-16        TR/Dldr.Bagle.afv        1.760
Authentium        5.1.1        200901162046        2009-01-16        W32/Downldr2.EXFZ (Exact)        1.087
AVAST!        3.0.1        090116-1        2009-01-16        Win32:Trojan-gen {Other}        0.048
AVG        7.5.52.442        270.10.8/1898        2009-01-16        Win32/Themida        1.913
BitDefender        7.81008.2482199        7.23201        2009-01-17        DeepScan:Generic.Bagle.2E66F3DC        3.608
CA (VET)        9.0.0.143        31.6.6312        2009-01-17        -        5.903
ClamAV        0.94.2        8872        2009-01-17        Trojan.Bagle-405        0.177
Comodo        3.0        933        2009-01-16        TrojWare.Win32.TrojanDownloader.Bagle.afy        0.974
CP Secure        1.1.0.715        2009.01.16        2009-01-16        Troj.Downloader.W32.Bagle.afy        6.646
Dr.Web        4.44.0.9170        2009.01.17        2009-01-17        Trojan.Packed.650        3.869
F-Prot        4.4.4.56        20090116        2009-01-16        W32/Downldr2.EXFZ (exact)        1.084
F-Secure        5.51.6100        2009.01.16.12        2009-01-16        Trojan-Downloader.Win32.Bagle.afy [AVP]        0.117
GData        19.2461/19.189        20090117        2009-01-17        Trojan-Downloader.Win32.Bagle.afy [Engine:A]        4.244
Ikarus        T3.1.01.45        2009.01.17.72165        2009-01-17        Trojan-Downloader.Win32.Bagle        3.636
Microsoft        1.4205        2009.01.17        2009-01-17        Trojan:Win32/Bagle.B        4.499
mks_vir        2.01        2009.01.15        2009-01-15        -        2.759
Norman        5.93.01        5.93.00        2009-01-16        W32/Malware.EKXG        6.443
nProtect        20090116.01        2903543        2009-01-16        Trojan-Downloader/W32.Bagle.856072.F        4.347
Quick Heal        10.00        2009.01.16        2009-01-16        TrojanDownloader.Bagle.afy        1.378
Sophos        2.82.1        4.37        2009-01-17        Mal/Bagle-B        2.317
Sunbelt        4756        4756        2009-01-08        -        0.147
The Hacker        6.3.1.5        v00221        2009-01-16        Trojan/Downloader.Bagle.afy        1.367
VBA32        3.12.8.10        20090116.0930        2009-01-16        Trojan-Downloader.Win32.Bagle.afy        1.659
ViRobot        20090116        2009.01.16        2009-01-16        -        0.414
VirusBuster        4.5.11.10        10.100.28/762624        2009-01-16        -        1.401
卡巴斯基        5.5.10        2009.01.16        2009-01-16        Trojan-Downloader.Win32.Bagle.afy        0.038
安博士V3        2009.01.16.03        2009.01.16        2009-01-16        Win-Trojan/Bagle.856072.H        1.066
安天        2.0.18        20090116.2058034        2009-01-16        Trojan/Win32.Bagle.afy[Downloader]        0.221
江民杀毒        11.0.706        2009.01.13        2009-01-13        TrojanDownloader.Bagle.abc        2.053
熊猫卫士        9.05.01        2009.01.16        2009-01-16        -        3.260
瑞星        20.0        21.12.42.00        2009-01-16        -        3.761
赛门铁克        1.3.0.24        20090116.004        2009-01-16        Trojan.Mitglieder        0.185
趋势科技        8.700-1004        5.774.15        2009-01-16        -        0.060
迈克菲        5.3.00        5497        2009-01-16        Generic Downloader.x        2.904
金山毒霸        2008.9.8.18        2009.1.16.22        2009-01-16        Win32.TrojDownloader.Beagle.856072        0.594
飞塔        2.81-3.117        9.933        2009-01-15        PossibleThreat        0.260

[ 本帖最后由 zhaoqy03 于 2009-1-17 11:21 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 00:26 , Processed in 0.133753 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表