梅勒斯

基本信息

感染的作業系統：Windows NT所有版本系統

【威脅情況】

傳播級別：低

全球化傳播態勢：低

清除難度：困難

破壞力：高

破壞手段：破壞防毒軟體，下載檔案

這是一個破壞防毒軟體的下載型病毒。由Delphi語言編寫。病毒運行後進行如下操作：

1、循環等待系統連線網路：

病毒運行後循環調用InternetGetConnectedState函式，直到系統連線了互連網才結束循環往下繼續執行，否則一直循環。

病毒調用GetCurrentProcess、OpenProcessToken、AdjustTokenPrivileges等函式提升自己進程的許可權。

3、結束防毒軟體進程：

病毒調用CreateToolhelp32Snapshot、Process32First等函式遍歷進程，調用TerminateProcess函式關閉進程名為如下的進程："360safe.exe"、"360tray.exe"、"runiep.exe"

當找到名為"avp.exe"進程後，則調用GetForegroundWindow、GetClassNameA等函式檢查最前的視窗是否是avp程式的視窗，如是則通過傳送WM_CLOSE訊息關閉視窗。

4、複製檔案並建立自動運行：

病毒將自己複製為“%system%\sysbl.eXe”檔案，並建立如下註冊表鍵自動運行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

"dearbl" = %SYSTEM%\SYSBL.EXE

5、下載並運行檔案：

病毒調用URLDownloadToFileA、ShellExecuteA函式下載如下檔案並運行：

http://1.exe－> C:\Program Files\1.exe

http:///2.exe－> C:\Program Files\2.exe

http:///3.exe－> C:\Program Files\3.exe

http:///4.exe－> C:\Program Files\4.exe

http:///5.exe－> C:\Program Files\5.exe

http:///6.exe－> C:\Program Files\6.exe