可破坏多种杀毒软件
8月19日,瑞星“云安全”截获了“梅勒斯”木马病毒今年第500个变种——Trojan.DL.Win32.Mnless.elt(梅勒斯宠物)木马。2009年,“梅勒斯”家族木马共感染用户3284万次,其中以四大变种为首,感染次数均超过了100万次。由于瑞星“云安全”的自动分析处理流程,使得所有用户具有防御这些病毒的能力,将病毒拦截在电脑之外。
自18日至19日,“云安全”系统就收到了39227次用户上报,“梅勒斯宠物”运行后会关闭或破坏多种主流杀毒软件和安全工具,在用户丧失防毒能力后,大量下载木马病毒,并替换系统文件,使用户电脑成为“毒窝”。
瑞星反病毒专家介绍,“梅勒斯宠物”运行后,会通过注册表劫持项、调用函数与释放驱动等多种方法破坏关闭杀毒软件。病毒会释放出一个“机器狗”类似的驱动,替换userinit.exe实现开机启动和长期驻留的目的。最后释放木马下载器,访问黑客指定地址http://txt.****.com/xx.txt的下载列表,下载木马和病毒。对此,瑞星“云安全”系统进行了及时升级,所有用户已经具有防御和彻底查杀该病毒的能力。
瑞星反病毒工程师提醒用户,由于该病毒使用了多种方式关闭主流杀毒软件和安全工具,所以会给用户带来非常严重的影响,用户应及时升级至最新版本,以防感染木马。由于瑞星杀毒软件采用了木马行为防御和增强的自我保护技术,所以使该病毒的破坏行为失败。
瑞星反病毒专家提醒过大用户:
1、 尽快升级杀毒软件到最新版本并加入瑞星“云安全”系统;
2、 更新系统及第三方软件的漏洞,防止网页中的病毒通过软件漏洞感染电脑;
3、 如果已经感染该病毒,从其他干净的系统中替换中毒系统的userinit.exe,随后使用杀毒软件清除病毒下载的木马和病毒。
附:病毒破坏关闭杀毒软件方法
1、 病毒会查找瑞星、金山、江民的进程,找到则调用VirtualFreeEx函数将其内存逐渐释放掉直至相应进程退出。
2、查找avp.exe,360tray.exe进程,如果找到则在临时文件夹内释放一个随机名的扩展名为.t的DLL文件,并以Rundll32.exe带AboutDlgProc 18参数的方式启动。以加/uninstsp的参数方式启动360tray.exe。然后释放驱动并释放掉该进程的内存。
3、查找ekrn服务是否存在,如果存在则修改ekrn服务为禁用并调用taskkill /f /im ekrn.exe。通过taskkill /f /im egui.exe结束NOD32相关服务,并创建对应的注册表劫持项使其无法再次打开。
