防毒軟體原本是保護電腦免受病毒威脅的,現在卻也可能被病毒攻擊,令其無法發揮應有的防護功能。近期賽門鐵克檢測到一種企圖結束防毒軟體執行的新病毒—W32.Besverit。
W32.Besverit首先將自己複製到Windows下的Help目錄system目錄及RECYCLER目錄並改名為看似正常的檔案名稱。同時,病毒會新增登錄表以實現隨系統自動開啟,並讓使用者無法在工作管理員中看到病毒所生成的隱藏檔,如autorun.inf等。
該病毒危害最大的地方在於它會阻礙程式正常運行。比如,W32.Besverit會試圖停掉保護系統時間的服務,從而修改系統時間,使一些軟體,甚至是防毒軟體失效,無法正常運行。
病毒還會利用映射劫持(Image File Execution Option),他是透過登錄檔( Registry Key)的方式,把原來假設您要執行ABC這個程式,改成執行DEF的程式,而DEF可能就是惡意程式。這樣的阻止防毒軟體啟動而去執行惡意程式的行為,給使用者電腦帶來極大的威脅。
W32.Besverit主要通過將自已複製到本地磁片、網路磁碟及抽取式媒體並寫入相應的autorun.inf進行傳播。同時,病毒還會採用捆綁感染的方式感染電腦上的exe檔,也就是就是修改原來的正常程式,把惡意程式鑲入原來的正常程式,讓惡意程式可以跟隨著正常程式被啟動執行。