瑞星：毒王“梅勒斯”今年狂产500个变种

8月19日，瑞星“云安全”截获了“梅勒斯”木马病毒今年第500个变种——Trojan.DL.Win32.Mnless.elt(梅勒斯宠物)木马。2009年，“梅勒斯”家族木马共感染用户3284万次，其中以四大变种为首，感染次数均超过了100万次。由于瑞星“云安全”的自动分析处理流程，使得所有用户具有防御这些病毒的能力，将病毒拦截在电脑之外。
　　自18日至19日，“云安全”系统就收到了39227次用户上报，“梅勒斯宠物”运行后会关闭或破坏多种主流杀毒软件和安全工具，在用户丧失防毒能力后，大量下载木马病毒，并替换系统文件，使用户电脑成为“毒窝”。


图为：“梅勒斯”木马四大变种感染量统计
　　瑞星反病毒专家介绍，“梅勒斯宠物”运行后，会通过注册表劫持项、调用函数与释放驱动等多种方法破坏关闭杀毒软件。病毒会释放出一个“机器狗”类似的驱动，替换userinit.exe实现开机启动和长期驻留的目的。最后释放木马下载器，访问黑客指定地址http://txt.****.com/xx.txt的下载列表，下载木马和病毒。对此，瑞星“云安全”系统进行了及时升级，所有用户已经具有防御和彻底查杀该病毒的能力。
　　瑞星反病毒工程师提醒用户，由于该病毒使用了多种方式关闭主流杀毒软件和安全工具，所以会给用户带来非常严重的影响，用户应及时升级至最新版本，以防感染木马。由于瑞星杀毒软件采用了木马行为防御和增强的自我保护技术，所以使该病毒的破坏行为失败。
　　瑞星反病毒专家提醒过大用户：
　　1、 尽快升级杀毒软件到最新版本并加入瑞星“云安全”系统；
　　2、 更新系统及第三方软件的漏洞，防止网页中的病毒通过软件漏洞感染电脑；
　　3、 如果已经感染该病毒，从其他干净的系统中替换中毒系统的userinit.exe，随后使用杀毒软件清除病毒下载的木马和病毒。
　　附：病毒破坏关闭杀毒软件方法
　　1、 病毒会查找瑞星、金山、江民的进程，找到则调用VirtualFreeEx函数将其内存逐渐释放掉直至相应进程退出。
　　2、查找avp.exe,360tray.exe进程，如果找到则在临时文件夹内释放一个随机名的扩展名为.t的DLL文件，并以Rundll32.exe带AboutDlgProc 18参数的方式启动。以加/uninstsp的参数方式启动360tray.exe。然后释放驱动并释放掉该进程的内存。
　　3、查找ekrn服务是否存在，如果存在则修改ekrn服务为禁用并调用taskkill /f /im ekrn.exe。通过taskkill /f /im egui.exe结束NOD32相关服务，并创建对应的注册表劫持项使其无法再次打开。