4、被修改的文件
一些病毒希望通过修改某些系统文件或者其他程序文件达到自己的目的。如果反病毒软件不能识别这些文件的话,会导致病毒造成的隐患依然存在,但在这些文件体上提取特征,则也很容易导致原来未被修改的正常文件被误报。
例子:著名的蠕虫HAPPY99会将系统正常wsock32.dll改名为 wsock32.ska,并生成一个与wsock32.dll文件大小一样的文件,新的文件修改了函数调用,从而达到调用病毒自身的另外一个链接库,获取用户发送邮件的收件人地址,然后发送一封把自身作为附件、被捕获得邮件地址为收件人的病毒邮件的作用。
而如果在新的wsock32.dll上提取的特征位置不当的话,就会导致正常的wsock32.dll被误报,而一些厂商采用了取巧的方法,当他们发现Happy99的病毒体后,就在系统目录下寻找wsock32.ska,并覆盖回wsock32.dll。
