病毒winupgro.exe全球肆虐技压群雄，可耐唯败东方微点

Nblock

微点交流论坛 » 主动防御 » winupgro.exe病毒全球肆虐 本文转自草莽书生的博客：http://hi.baidu.com/egomoo/blog/ ... dcc35e242df25a.html ============================================================================================== 中招现象： 1. 任务管理器中winupgro.exe进程占90%-100%的CPU资源， 2. 屏蔽国内国外众多杀毒软件，启动杀毒软件后，提示杀毒软件不是有效win32文件 NOD，AVG anti-spyware，卡巴，德国小红伞， HijackThis, Spybot, Defender, or online scanners F-Secure and Kaspersky，Malwarebytes' Anti-Malware and ComboFix 3.破坏安全模式，进入即可蓝屏 google搜索出现很多法语，德语的网站讨论winupgro的删除方法，可见其传播之广。 目前只有根据系统日志手工删除的方法。 病毒样本分析见台湾一版主的帖子 深度技术论坛求租帖日志 卡卡论坛求助帖链接 国外论坛Geeksgot求助帖 如何查杀详见： 利用卡巴AVZ脚本执行工具删除winupgro.exe 中文翻译：下周AVZ工具后， File->Custom scripts，复制以下脚本执行即可 ========================================= begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('%APPDATA%\m\flec006.exe',''); QuarantineFile('%APPDATA%\drivers\winupgro.Exe',''); QuarantineFile('%APPDATA%\drivers\srosa2.sys',''); QuarantineFile('%APPDATA%\drivers\srosa.Sys',''); QuarantineFile('%WinDir%\system32\wintems.exe',''); QuarantineFile('%WinDir%\system32\mdelk.exe',''); DeleteFile('%APPDATA%\m\flec006.exe'); DeleteFile('%APPDATA%\drivers\winupgro.Exe'); DeleteFile('%APPDATA%\drivers\srosa2.sys'); DeleteFile('%APPDATA%\drivers\srosa.Sys'); DeleteFileMask('%Tmp%', '*.*', true); DeleteFileMask('%APPDATA%\drivers\download', '*.*', true); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ========================================================= http://cache.baidu.com/c?m=9d78d ... 2b45&user=baidu winupgro 干掉了卡巴 winupgro，有人知道这个病毒或者木马吗？我在元旦期间中了这个毒。它把我的卡巴斯基7.0KIS直接屏蔽了。用了国内所有的反病毒和杀木马的软件都不起作用。最后只能重装系统。 该病毒现象是关闭杀毒软件，再启动杀毒软件后，提示杀毒软件不是有效win32文件。进程中一直有winupgro.exe。停不了。删除C盘中所有存放winupgro.exe位置（参考国外朋友的解决方案），重启后立即又恢复。该病毒或者木马导致机器性能下降，破环防毒软件，不能进安全模式。 我没有试过卡巴2009是不是能够挡住它，不过卡巴7肯定是没有反应。安全卫士360只能检测出它是一个恶意插件，但是执行清理就黑屏死机。金山，瑞星都不起作用。连国外一些有名的进程杀手软件都被它直接屏蔽。 有兴趣的朋友可以到google搜索一个样本看看，切忌在虚拟机中执行。 希望卡巴能解决这个木马。 ========================================================= http://soft.deepin.org/read-htm-tid-880357.html 晓月来看下，K掉小红伞的木马，胆大心细者亦可试验 4楼重发。 运行后会终止小红伞，在系统文件夹下生成winfilse.exe, srosa.sys 等文件，重启系统。开始下载大量木马程序。 ComodoFirewallPro我的是2.4也没防住，重启后不能开启。 ………………………………………… 最后进入WinPE手动删除文件解决。 晓月来帮忙看下，好像不是什么新木马，感染后可以识别为TR/Bagle.Gen.B，可是中毒前小红伞就是不报（高启发下也是）。 附件为木马，从emule上下载下来的。慎入！！ 4楼重发。 这个exe运行后： 立即结束所有托盘进程。包括小红伞的avgnt，并将最先结束的那个进程的文件替换为病毒文件，以便下次重启运行。 然后创建注册表启动HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run的drvsyskit指向C:\WINDOWS\system32\drivers\winfilse.exe 加载驱动sK9Ou0s，对应文件C:\WINDOWS\system32\drivers\srosa2.sys， 加载驱动srosa， 对应文件：C:\WINDOWS\system32\drivers\srosa.sys 利用这个驱动来强行结束小红伞的所有监控服务。 删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot破坏所有安全模式。（此项删除的注册表较多，部分内容需要到pe下外挂注册表文件进行修复） 删除所有文件夹名称为shared的文件夹及其子文件夹及文件 利用钩子，隐藏自身文件，隐藏的文件有C:\WINDOWS\system32\drivers\winfilse.exe、C:\WINDOWS\system32\drivers\downld文件夹、C:\WINDOWS\system32\drivers\winfilse.exe\srosa.sys。 隐藏运行进程C:\WINDOWS\system32\drivers\winfilse.exe 进程C:\WINDOWS\system32\drivers\winfilse.exe连接到多个地址下载文件。同时创建C:\WINDOWS\system32\drivers\downld\随机数字命名的一些.exe 禁止wincheck运行、禁止冰刃运行。 制定了相应规则的eq是完全可以防御的，我在测试时是全部放行让病毒发作的。 mpkill，病毒技压群雄，可耐唯败微点 [ Last edited by 独孤不平 on 2009-1-16 at 23:11 ]

[ 本帖最后由 Nblock 于 2009-1-17 11:28 编辑 ]

紫夜篝火

企业版咖啡对付它咋样？

saga3721

已经入库了
'TR/Dldr.Bagle.afv [trojan]'

sunvhao

费尔已经把它干掉了

su-tt

楼主你辛苦了，贴这么多图
C:\Documents and Settings\Administrator\桌面\Climate_calculator_1[1].0.0.0.zip > ZIP > serial.exe - Win32/Bagle.QH 蠕虫

g98412365

真凶残的病毒。。。。。。。

kkgh

C:\Documents and Settings\Administrator.LY\桌面\serial.exe         已检测: Trojan-Downloader.Win32.Bagle!IK      IK已经入库

zhaoqy03

暂时，伞p无视。全开高启发
——————————————————————————
不好意思，扫描设置默认的没有选择压缩包，选上就好了

[ 本帖最后由 zhaoqy03 于 2009-1-17 11:09 编辑 ]

saga3721

无论红伞是否已经入库才杀，总也已经是一扫就报了的，报法见3楼

zhaoqy03

多引擎扫描大多数都已经如入库了
扫描结果 :          78%的杀软(29/37)报告发现病毒
时间 :          2009/01/17 10:00:38 (CST)
软件名称         引擎版本        病毒库版本        病毒库时间        扫描结果        时间
a-squared        4.0.0.29        20090116183424        2009-01-16        Trojan-Downloader.Win32.Bagle!IK        2.257
AntiVir        7.9.0.57        7.1.1.134        2009-01-16        TR/Dldr.Bagle.afv        1.760
Authentium        5.1.1        200901162046        2009-01-16        W32/Downldr2.EXFZ (Exact)        1.087
AVAST!        3.0.1        090116-1        2009-01-16        Win32:Trojan-gen {Other}        0.048
AVG        7.5.52.442        270.10.8/1898        2009-01-16        Win32/Themida        1.913
BitDefender        7.81008.2482199        7.23201        2009-01-17        DeepScan:Generic.Bagle.2E66F3DC        3.608
CA (VET)        9.0.0.143        31.6.6312        2009-01-17        -        5.903
ClamAV        0.94.2        8872        2009-01-17        Trojan.Bagle-405        0.177
Comodo        3.0        933        2009-01-16        TrojWare.Win32.TrojanDownloader.Bagle.afy        0.974
CP Secure        1.1.0.715        2009.01.16        2009-01-16        Troj.Downloader.W32.Bagle.afy        6.646
Dr.Web        4.44.0.9170        2009.01.17        2009-01-17        Trojan.Packed.650        3.869
F-Prot        4.4.4.56        20090116        2009-01-16        W32/Downldr2.EXFZ (exact)        1.084
F-Secure        5.51.6100        2009.01.16.12        2009-01-16        Trojan-Downloader.Win32.Bagle.afy [AVP]        0.117
GData        19.2461/19.189        20090117        2009-01-17        Trojan-Downloader.Win32.Bagle.afy [Engine:A]        4.244
Ikarus        T3.1.01.45        2009.01.17.72165        2009-01-17        Trojan-Downloader.Win32.Bagle        3.636
Microsoft        1.4205        2009.01.17        2009-01-17        Trojan:Win32/Bagle.B        4.499
mks_vir        2.01        2009.01.15        2009-01-15        -        2.759
Norman        5.93.01        5.93.00        2009-01-16        W32/Malware.EKXG        6.443
nProtect        20090116.01        2903543        2009-01-16        Trojan-Downloader/W32.Bagle.856072.F        4.347
Quick Heal        10.00        2009.01.16        2009-01-16        TrojanDownloader.Bagle.afy        1.378
Sophos        2.82.1        4.37        2009-01-17        Mal/Bagle-B        2.317
Sunbelt        4756        4756        2009-01-08        -        0.147
The Hacker        6.3.1.5        v00221        2009-01-16        Trojan/Downloader.Bagle.afy        1.367
VBA32        3.12.8.10        20090116.0930        2009-01-16        Trojan-Downloader.Win32.Bagle.afy        1.659
ViRobot        20090116        2009.01.16        2009-01-16        -        0.414
VirusBuster        4.5.11.10        10.100.28/762624        2009-01-16        -        1.401
卡巴斯基        5.5.10        2009.01.16        2009-01-16        Trojan-Downloader.Win32.Bagle.afy        0.038
安博士V3        2009.01.16.03        2009.01.16        2009-01-16        Win-Trojan/Bagle.856072.H        1.066
安天        2.0.18        20090116.2058034        2009-01-16        Trojan/Win32.Bagle.afy[Downloader]        0.221
江民杀毒        11.0.706        2009.01.13        2009-01-13        TrojanDownloader.Bagle.abc        2.053
熊猫卫士        9.05.01        2009.01.16        2009-01-16        -        3.260
瑞星        20.0        21.12.42.00        2009-01-16        -        3.761
赛门铁克        1.3.0.24        20090116.004        2009-01-16        Trojan.Mitglieder        0.185
趋势科技        8.700-1004        5.774.15        2009-01-16        -        0.060
迈克菲        5.3.00        5497        2009-01-16        Generic Downloader.x        2.904
金山毒霸        2008.9.8.18        2009.1.16.22        2009-01-16        Win32.TrojDownloader.Beagle.856072        0.594
飞塔        2.81-3.117        9.933        2009-01-15        PossibleThreat        0.260

[ 本帖最后由 zhaoqy03 于 2009-1-17 11:21 编辑 ]