5 сентября 2000 г.
"Лаборатория Касперского" сообщила об обнаружении вируса W2K.Stream - нового поколения вредоносных программ для ОС Windows 2000
Данный вирус использует новый радикальный способ внедрения в файловую систему NTFS, основанный на применении метода замещения потоков (Stream Companion). Вирус был создан в конце августа двумя хакерами из Чехии под кодовыми названиями Benny и Ratter. На данный момент случаев заражения вирусом зарегистрировано не было, однако его работоспособность и присутствие всех необходимых функций для существования в "диком виде" не вызывают сомнений.
В отличие от существовавших ранее способов заражения файлов (добавление тела вируса в начало, конец или любое другое место тела программы), "Stream" использует возможность файловой системы NTFS (Windows NT/2000) поддерживать множественные потоки данных. Например, в файлах Windows 95/98 (FAT) внутренняя структура программы представлена лишь одним потоком собственно ее телом. В Windows NT/2000 (NTFS) таких потоков может быть много: как независимых программных модулей, так и разнообразной дополнительной служебной информации (права доступа к файлу, отметки о шифрации, времени обработки и т.д.). Это придает файлу гибкость, позволяя пользователям создавать новые потоки данных для хранения дополнительных атрибутов файлов или целых программ.
"Stream" первым из известных вирусов использует возможность создавать множественные потоки данных NTFS для заражения файлов. Для этого он выполняет следующую последовательность действий. Сначала вирус создает дополнительный поток под именем "STR" и переносит туда оригинальное содержимое программы. После этого он записывает свое тело в основной поток вместо самой программы. Таким образом, при запуске зараженной программы сначала будет выполняться основной поток, содержащий вирус, который после окончания работы передаст управление "родительской" программе.
Вирус работоспособен на любой операционной системе, использующей файловую систему NTFS. Однако его автор встроил в вирус проверку установленного ПО. Таким образом, запуск вируса происходит только в случае, если компьютер работает под управлением Windows 2000.
С подробностями обнаружения вируса и техническими деталями можно познакомиться на сайте Лаборатории Касперского . Процедуры защиты от вируса "Stream" добавлены в очередное ежедневное обновление антивирусной базы "Антивируса Касперского".
|
