簡介
開機後隨系統啟動而運行,所以開機後點擊右鍵刪除被病毒感染的檔案是不可能的防毒軟體也不能將病毒清除。它還可以劫持安全軟體,使其崩潰來隱藏自己。該病毒近來傳播廣泛,入選2008年度十大病毒榜。
典型例子——cu變種
危險等級:★★★
病毒名稱:Trojan.DL.Win32.Mnless.cu
截獲時間:2007-11-21
瑞星入庫版本:20.19.31
類型:木馬下載器
感染的作業系統:Windows NT所有版本系統
【威脅情況】
傳播級別:低
全球化傳播態勢:低
清除難度:困難
破壞力:高
破壞手段:破壞防毒軟體,下載檔案
這是一個破壞防毒軟體的下載型病毒。由Delphi語言編寫。病毒運行後進行如下操作:
1、循環等待系統連線網路:
病毒運行後循環調用InternetGetConnectedState函式,直到系統連線了互連網才結束循環往下繼續執行,否則一直循環。
2、提升許可權:
病毒調用GetCurrentProcess、OpenProcessToken、AdjustTokenPrivileges等函式提升自己進程的許可權。
3、結束防毒軟體進程:
病毒調用CreateToolhelp32Snapshot、Process32First等函式遍歷進程,調用TerminateProcess函式關閉進程名為如下的進程:"360safe.exe"、"360tray.exe"、"runiep.exe"
當找到名為"avp.exe"進程後,則調用GetForegroundWindow、GetClassNameA等函式檢查最前的視窗是否是avp程式的視窗,如是則通過傳送WM_CLOSE訊息關閉視窗。
4、複製檔案並建立自動運行:
病毒將自己複製為“%system%\sysbl.eXe”檔案,並建立如下註冊表鍵自動運行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"dearbl" = %SYSTEM%\SYSBL.EXE
5、下載並運行檔案:
病毒調用URLDownloadToFileA、ShellExecuteA函式下載如下檔案並運行:
http://pkxxx.cn/1.exe -> C:\Program Files\1.exe
http://pkxxx.cn/2.exe -> C:\Program Files\2.exe
http://pkxxx.cn/3.exe -> C:\Program Files\3.exe
http://pkxxx.cn/4.exe -> C:\Program Files\4.exe
http://pkxxx.cn/5.exe -> C:\Program Files\5.exe
http://pkxxx.cn/6.exe -> C:\Program Files\6.exe
http://pkxxx.cn/7.exe -> C:\Program Files\7.exe
http://pkxxx.cn/8.exe -> C:\Program Files\8.exe
http://pkxxx.cn/9.exe -> C:\Program Files\9.exe
http://pkxxx.cn/a.exe -> C:\Program Files\10.exe
http://pkxxx.cn/b.exe -> C:\Program Files\11.exe
http://pkxxx.cn/c.exe -> C:\Program Files\12.exe
http://pkxxx.cn/d.exe -> C:\Program Files\13.exe
http://pkxxx.cn/e.exe -> C:\Program Files\14.exe
http://pkxxx.cn/f.exe -> C:\Program Files\15.exe
http://pkxxx.cn/g.exe -> C:\Program Files\16.exe
http://pkxxx.cn/h.exe -> C:\Program Files\17.exe
http://pkxxx.cn/i.exe -> C:\Program Files\18.exe
http://pkxxx.cn/j.exe -> C:\Program Files\19.exe
http://pkxxx.cn/k.exe -> C:\Program Files\20.exe
http://pkxxx.cn/l.exe -> C:\Program Files\21.exe
http://pkxxx.cn/m.exe -> C:\Program Files\22.exe
http://pkxxx.cn/n.exe -> C:\Program Files\explorer.exe
http://pkxxx.cn/o.exe -> C:\Program Files\arpqc.exe
清除
『1』如果不重灌系統,可以下載Unlocker手動刪除頑固的病毒檔案:
1.用unlocker軟體,他的作用是可以將單一檔案有關聯的關係全部解除。
2.找到該檔案(中毒的檔案)在他上麵點右鍵選者unlocker,然後會跳出一個視窗,再點選「全部解鎖」。
3.刪除被感染的檔案
4.刪除後最好用防毒軟體做一次全面掃描。
5.重啟系統,就會發現trojan.dl.mnless木馬病毒已經被清除了。
『2』運行循環刪除劫持映像的程式,然後在此期間恢復防毒軟體的功能並啟用防毒程式全盤防毒。
『3』下載360專殺,進入安全模式.然後斷網進行全盤掃描,最後清除以後重啟,再重新掃描遍系統全盤.
種類
梅勒斯還有Rootkit等類別。