[分享] 賽門鐵克病毒週報 W32.Besverit
--病毒W32.Besverit攻擊防毒軟體,使用者需小心注意!
(作者:賽門鐵克中國安全回應中心)
病毒名稱:W32.Besverit
病毒類型:病毒
受影響的作業系統:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
防毒軟體原本是保護電腦免受病毒威脅的,現在卻也可能被病毒攻擊,令其無法發揮應有
的防護功能。近期我們就檢測到一種企圖結束防毒軟體執行的新病毒—W32.Besverit。
W32.Besverit首先將自己複製到Windows下的Help目錄、system目錄及RECYCLER目錄並改
名為看似正常的檔案名稱。同時,病毒會新增登錄表以實現隨系統自動開啟,並讓使用者
無法在工作管理員中看到病毒所生成的隱藏檔,如autorun.inf等。
該病毒危害最大的地方在於它會阻礙程式正常運行。比如,W32.Besverit會試圖停掉保護
系統時間的服務,從而修改系統時間,使一些軟體,甚至是防毒軟體失效,無法正常運行
。病毒還會利用映射劫持 (Image File Execution Option),他是透過登錄檔(
Registry Key) 的方式,把原來假設您要執行 ABC 這個程式,改成執行DEF 的程式,而
DEF 可能就是惡意程式。這樣的阻止防毒軟體啟動而去執行惡意程式的行為,給使用者
電腦帶來極大的威脅。
W32.Besverit主要通過將自已複製到本地磁片、網路磁碟及抽取式媒體並寫入相應的
autorun.inf進行傳播。同時,病毒還會採用捆綁感染的方式感染電腦上的exe檔,也就是
就是修改原來的正常程式,把惡意程式鑲入原來的正常程式,讓惡意程式可以跟隨著正常
程式被啟動執行。
諾頓安全專家建議:
1. 選擇可防止自身檔案被篡改或執行被中止的防毒軟體,為電腦提供持續有效的防護。
2. 選擇具有自動修復功能的軟體,可將惡意程式碼從被感染檔中清除,將檔案修復至被
感染前的狀態,從而保護原始檔不受影響。
3. 關閉作業系統的“自動執行”功能。
4. 沒有安裝安全軟體的使用者可以到 http://tw.symantecstore.com下載諾頓360(3.0
版)、諾頓網路安全大師2009或諾頓防毒2009試用版。
5. 使用諾頓2006版本及之後產品的現有使用者,可以免費將產品升級至諾頓2009版本,
升級網址http://www.symantec.com.tw/nuc
--
*諾頓特攻隊*
隊長twitter--> http://twitter.com/Captain_Norton
隊長plurk-->http://www.plurk.com/nortonparty
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.166.109.77
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
