セキュリティベンダーの米ウェブセンスは2007年9月28日(米国時間)、同社の公式ブログにおいて、主に中国で感染を広げているウイルス「AV(アンチウイルス)キラー」について注意を呼びかけるとともに、その動作を解説した。中国では「ウイルスの王様(king of viruses)」とも呼ばれているという。
同ウイルスの特徴は、感染パソコン上でウイルス対策ソフト(セキュリティ対策ソフト)を無効にすること。対策ソフトを無効にするようなウイルスは多数存在し、さまざまな方法で対策ソフトを停止させようとする。ウェブセンスによれば、AVキラーは「IFEO(Image File Execution Options)」と呼ばれる手法を用いるという。これは、レジストリなどを改変して、対策ソフトが呼び出された際に、別のファイルが実行されるようにするもの。
同社ではIFEOを使った例として、カスペルスキーの対策ソフト(avp.exe)を実行しようとすると、別のファイル(.exe)が呼び出されるようにしたパソコンの設定画面を紹介(図)。この方法を使えば、カスペルスキー製品に限らず、マカフィーやNOD32、シマンテックといった、ほかの対策製品も無効にできるという。
もちろん、現在使用している対策ソフトがAVキラーに対応していれば、対策ソフトを無効にされる前に検知・駆除できる。しかしながら、現在までに500種類以上の亜種(変種)が出現しているとされているので、検知できない可能性がある。検知されずに動き出した場合には、AVキラーは対策ソフトを無効にした上で、別のウイルスをインターネットからダウンロードして実行するという。
中国のウイルス対策ソフトベンダー3社は、2007年前半、AVキラーを最も危険なウイルスの一つとして警告。現在までに、10万台以上のコンピューターに感染しているとする。ウェブセンスの情報によれば、感染コンピューターのほとんどすべては、中国で使われているコンピューターであるという。
