2009/07/27 【諾頓病毒週報】
W32.Besverit首先將自己複製到Windows下的Help目錄、system目錄及RECYCLER目錄並改名為看似正常的檔案名稱。同時,病毒會新增登錄表以實現隨系統自動開啟,並讓使用者無法在工作管理員中看到病毒所生成的隱藏檔,如autorun.inf等。
(作者:賽門鐵克中國安全回應中心)
病毒名稱:W32.Besverit
病毒類型:病毒
受影響的作業系統:Windows 95/98/2000/Me/XP/Vista/NT, Windows Server 2003
病毒分析:
防毒軟體原本是保護電腦免受病毒威脅的,現在卻也可能被病毒攻擊,令其無法發揮應有的防護功能。近期我們就檢測到一種企圖結束防毒軟體執行的新病毒—W32.Besverit。
W32.Besverit首先將自己複製到Windows下的Help目錄、system目錄及RECYCLER目錄並改名為看似正常的檔案名稱。同時,病毒會新增登錄表以實現隨系統自動開啟,並讓使用者無法在工作管理員中看到病毒所生成的隱藏檔,如autorun.inf等。
該病毒危害最大的地方在於它會阻礙程式正常運行。比如,W32.Besverit會試圖停掉保護系統時間的服務,從而修改系統時間,使一些軟體,甚至是防毒軟體失效,無法正常運行。病毒還會利用映射劫持 (Image File Execution Option),他是透過登錄檔( Registry Key) 的方式,把原來假設您要執行 ABC 這個程式,改成執行DEF 的程式,而 DEF 可能就是惡意程式。這樣的阻止防毒軟體啟動而去執行惡意程式的行為,給使用者電腦帶來極大的威脅。
W32.Besverit主要通過將自已複製到本地磁片、網路磁碟及抽取式媒體並寫入相應的autorun.inf進行傳播。同時,病毒還會採用捆綁感染的方式感染電腦上的exe檔,也就是就是修改原來的正常程式,把惡意程式鑲入原來的正常程式,讓惡意程式可以跟隨著正常程式被啟動執行。
諾頓安全專家建議:
1. 諾頓安全軟體可防止自身檔案被篡改或執行被中止,為電腦提供持續有效的防護。
2. 選擇具有自動修復功能的軟體,可將惡意程式碼從被感染檔中清除,將檔案修復至被感染前的狀態,從而保護原始檔不受影響。
3. 關閉作業系統的「自動執行」功能。
4. 沒有安裝安全軟體的使用者可以到 http://tw.symantecstore.com下載諾頓360(3.0版)、諾頓網路安全大師2009或諾頓防毒2009試用版。
使用諾頓2006版本及之後產品的現有使用者,可以免費將產品升級至諾頓2009版本,升級網址http://www.symantec.com.tw/nuc。
留言列表
