??? 【快訊】8月19日，瑞星“云安全”截獲了“梅勒斯”木馬病毒今年第500個變種——Trojan.DL.Win32.Mnless.elt（梅勒斯寵物）木馬。2009年，“梅勒斯”家族木馬共感染用戶3284萬次，其中以四大變種為首，感染次數均超過了100萬次。由于瑞星“云安全”的自動分析處理流程，使得所有用戶具有防御這些病毒的能力，將病毒攔截在電腦之外。

 

??? 自18日至19日，“云安全”系統就收到了39227次用戶上報，“梅勒斯寵物”運行后會關閉或破壞多種主流殺毒軟件和安全工具，在用戶喪失防毒能力后，大量下載木馬病毒，并替換系統文件，使用戶電腦成為“毒窩”。

（“梅勒斯”木馬四大變種感染量統計）

 

??? 瑞星反病毒專家介紹，“梅勒斯寵物”運行后，會通過注冊表劫持項、調用函數與釋放驅動等多種方法破壞關閉殺毒軟件。病毒會釋放出一個“機器狗”類似的驅動，替換userinit.exe實現開機啟動和長期駐留的目的。最后釋放木馬下載器，訪問黑客指定地址http://txt.****.com/xx.txt的下載列表，下載木馬和病毒。對此，瑞星“云安全”系統進行了及時升級，所有用戶已經具有防御和徹底查殺該病毒的能力。

 

??? 瑞星反病毒工程師提醒用戶，由于該病毒使用了多種方式關閉主流殺毒軟件和安全工具，所以會給用戶帶來非常嚴重的影響，用戶應及時升級至最新版本，以防感染木馬。由于瑞星殺毒軟件采用了木馬行為防御和增強的自我保護技術，所以使該病毒的破壞行為失敗。

 

??? 瑞星反病毒專家提醒廣大用戶：

??? 1、? 盡快升級殺毒軟件到最新版本并加入瑞星“云安全”系統；

??? 2、? 更新系統及第三方軟件的漏洞，防止網頁中的病毒通過軟件漏洞感染電腦；

??? 3、? 如果已經感染該病毒，從其他干凈的系統中替換中毒系統的userinit.exe，隨后使用殺毒軟件清除病毒下載的木馬和病毒。

 

??? 1、病毒會查找瑞星、金山、江民的進程，找到則調用VirtualFreeEx函數將其內存逐漸釋放掉直至相應進程退出。

??? 2、查找avp.exe,360tray.exe進程，如果找到則在臨時文件夾內釋放一個隨機名的擴展名為.t的DLL文件，并以Rundll32.exe帶AboutDlgProc 18參數的方式啟動。以加/uninstsp的參數方式啟動360tray.exe。然后釋放驅動并釋放掉該進程的內存。