"ДиалогНаука" не считает опасным вирус W2K.Stream

•	Главная
•	Архив новостей
•	Безопасность в Unix
•	Безопасность в Windows
•	Сборник FAQ'ов
•	Телефония, фрикинг
•	Кредитные карты
•	Криптография
•	Истории о хакерах
•	Программы, утилиты

_el@sp.sz.ru

"ДиалогНаука" не считает опасным вирус W2K.Stream

Недавно некоторые антивирусные компании распространили сообщения о появлении вируса нового поколения W2K.Stream (другое название - Win2k.Benny.3628), который использует метод замещения потоков (Stream Companion). По этому поводу российский разработчик антивирусных программ компания "ДиалогНаука" сочла нужным заявить, что Win2k.Benny.3628 является неопасным нерезидентным вирусом-спутником.

Оригинальный вариант этого вируса упакован утилитой сжатия Petite. Вирус проверяет версию операционной системы и по непонятной причине размножается только под Windows 2000, хотя использует алгоритм, который вполне работоспособен и при работе под управлением Windows NT. При запуске вирус пытается инфицировать все EXE-файлы в текущем каталоге. Признаком заражения служит установленный атрибут сжатия данного файла, и, таким образом, все ранее сжатые средствами NTFS файлы не заражаются. Для внедрения в систему вирус используют файловые потоки (file streams) в файловой системе NTFS. При нахождении подходящего для заражения файла вирус копирует его во временный файл, замещает собой оригинальный код файла-жертвы и копирует содержимое временного файла в поток заражаемого файла с именем STR. При запуске такого инфицированного файла будет запущен код вируса, который произведет попытку заражения системы, описанную выше. По окончании своей работы вирус передает управление оригинальному файлу, находящемуся в потоке STR.

При старте в операционной системе, отличной от Windows 2000, или при невозможности запуска оригинального файла вирус выводит сообщение (это может произойти, например, при переносе или копировании файла, содержащего вирус, на дисковый раздел с файловой системой, не поддерживающей файловые потоки, например, FAT/FAT32):

Win2k.Stream by Benny/29A & Ratter
This cell has been infected by [Win2k.Stream] virus!

Таким образом, "ДиалогНаука" считает, что данный вирус является довольно примитивным компаньон-вирусом, хотя он и использует оригинальным образом некоторые возможности файловой системы Windows NT/2000.

Данный вирус не был замечен в "диком виде", но средства его обнаружения и удаления из операционной системы включены в очередное (от 10.09.2000) еженедельное дополнение вирусной базы программы Doctor Web.

Источник: InfoArt