arpqc.exe 到底算是什么病毒？

arpqc.exe 是“梅勒斯木马下载器变种CU”病毒下载并运行的一

个程序。

（转） 这是一个破坏杀毒软件的下载型病毒。由Delphi语言编写。病毒运行后进行如下操作：

1、循环等待系统连接网络：

病毒运行后循环调用InternetGetConnectedState函数，直到系统连接了互连网才结束循环往下继续执行，否则一直循环。

2、提升权限：

病毒调用GetCurrentProcess、OpenProcessToken、AdjustTokenPrivileges等函数提升自己进程的权限。

3、结束杀毒软件进程：

病毒调用CreateToolhelp32Snapshot、Process32First等函数遍历进程，调用TerminateProcess函数关闭进程名为如下的进程："360safe.exe"、"360tray.exe"、"runiep.exe"

当找到名为"avp.exe"进程后，则调用GetForegroundWindow、GetClassNameA等函数检查最前的窗口是否是avp程序的窗口，如是则通过发送WM_CLOSE消息关闭窗口。

4、复制文件并建立自动运行：

病毒将自己复制为“%system%\sysbl.eXe”文件，并建立如下注册表键自动运行：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"dearbl" = %SYSTEM%\SYSBL.EXE

5、下载并运行文件：

病毒调用URLDownloadToFileA、ShellExecuteA