Würde ein Virenscan oder der Hintergrund-Virenschutz plötzlich beendet, dürfte das Misstrauen vieler Anwender geweckt werden. Wie Cohen ausführt, geht der Dorf-Trojaner einen anderen Weg, um von Virenscannern unbehelligt zu bleiben:
Über die Routine "PsSetLoadImageNotifyRoutine" sorgt der Trojaner dafür, dass Windows ihn jedes Mal informiert, wenn ein Prozess gestartet wird. Der Trojaner vergleicht den Namen des gestarteten Prozesses mit einer internen Liste, und wird aktiv, wenn er einen ihm bekannten Prozess entdeckt - zum Beispiel den Start eines Virenscanners.
Dorf versucht aber nicht, den Prozess zu stoppen, sondern er patcht den Einstiegspunkt, sodass der Prozess zwar offenkundig startet, aber de fakto untätig bleibt. Deshalb bleibt die Anwesenheit des Trojaners auf einem, zumindest oberflächlich betrachtet, reibungslos funktionierenden System oft längere Zeit unentdeckt.
