"Лаборатория Касперского" сообщает об обнаружении нового поколения вирусов для Windows 2000

•	Главная
•	Архив новостей
•	Безопасность в Unix
•	Безопасность в Windows
•	Сборник FAQ'ов
•	Телефония, фрикинг
•	Кредитные карты
•	Криптография
•	Истории о хакерах
•	Программы, утилиты

_el@sp.sz.ru

"Лаборатория Касперского" сообщает об обнаружении нового поколения вирусов для Windows 2000

Российский разработчик антивирусных систем безопасности компания "Лаборатория Касперского" сообщает об обнаружении вируса W2K.Stream - нового поколения вредоносных программ для операционной системы Windows 2000. Данный вирус использует новый радикальный способ внедрения в файловую систему NTFS, основанный на применении метода замещения потоков (Stream Companion).

Вирус был создан в конце августа двумя хакерами из Чехии под кодовыми названиями Benny и Ratter. На данный момент случаев заражения вирусом зарегистрировано не было, однако его работоспособность и присутствие всех необходимых функций для существования в "диком виде" не вызывают сомнений.

"Данный вирус, несомненно, открывает новую страницу в истории создания компьютерных вирусов", - комментирует Евгений Касперский, руководитель антивирусных исследований компании, - "Технология внедрения в файлы при помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно сложным".

В отличие от существовавших ранее способов заражения файлов (добавление тела вируса в начало, конец или любое другое место тела программы), "Stream" использует возможность файловой системы NTFS (Windows NT/2000) поддерживать множественные потоки данных. Например, в файлах Windows 95/98 (FAT) внутренняя структура программы представлена лишь одним потоком - собственно ее телом. В Windows NT/2000 (NTFS) таких потоков может быть много: как независимых программных модулей, так и разнообразной дополнительной служебной информации (права доступа к файлу, отметки о шифрации, времени обработки и т.д.). Это придает файлу гибкость, позволяя пользователям создавать новые потоки данных для хранения дополнительных атрибутов файлов или целых программ.

"Stream" первым из известных вирусов использует возможность создавать множественные потоки данных NTFS для заражения файлов. Для этого он выполняет следующую последовательность действий. Сначала вирус создает дополнительный поток под именем "STR" и переносит туда оригинальное содержимое программы. После этого он записывает свое тело в основной поток вместо самой программы. Таким образом, при запуске зараженной программы сначала будет выполняться основной поток, содержащий вирус, который после окончания работы передаст управление "родительской" программе.

Вирус работоспособен на любой операционной системе, использующей файловую систему NTFS. Однако его автор встроил в вирус проверку установленного ПО. Таким образом, запуск вируса происходит только в случае, если компьютер работает под управлением Windows 2000.

С подробностями обнаружения вируса и техническими деталями Вы можете познакомиться на сайте "Лаборатории Касперского": www.avp.ru

Процедуры защиты от вируса "Stream" добавлены в очередное ежедневное обновление антивирусной базы "Антивируса Касперского".

Источник: InfoArt