arpqc.exe 到底算是什么病毒?
来源:百度知道 编辑:UC知道 时间:2024/05/16 08:43:26
释放一系列.exe文件的自解压的小东西
竟然两天内连续中了两次
害我 Ghost 两次
……
它到底有什么危害啊?
属于哪种毒呢?
网上搜过了,也没个很具体的答案…………
arpqc.exe 是“梅勒斯木马下载器变种CU”病毒下载并运行的一
个程序。
(转) 这是一个破坏杀毒软件的下载型病毒。由Delphi语言编写。病毒运行后进行如下操作:
1、循环等待系统连接网络:
病毒运行后循环调用InternetGetConnectedState函数,直到系统连接了互连网才结束循环往下继续执行,否则一直循环。
2、提升权限:
病毒调用GetCurrentProcess、OpenProcessToken、AdjustTokenPrivileges等函数提升自己进程的权限。
3、结束杀毒软件进程:
病毒调用CreateToolhelp32Snapshot、Process32First等函数遍历进程,调用TerminateProcess函数关闭进程名为如下的进程:"360safe.exe"、"360tray.exe"、"runiep.exe"
当找到名为"avp.exe"进程后,则调用GetForegroundWindow、GetClassNameA等函数检查最前的窗口是否是avp程序的窗口,如是则通过发送WM_CLOSE消息关闭窗口。
4、复制文件并建立自动运行:
病毒将自己复制为“%system%\sysbl.eXe”文件,并建立如下注册表键自动运行:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"dearbl" = %SYSTEM%\SYSBL.EXE
5、下载并运行文件:
病毒调用URLDownloadToFileA、ShellExecuteA