Обнаружен вирус для операционной системы Windows 2000, использующий совершенно новый метод внедрения в файловую систему. Об этом в понедельник сообщила "".
Ранее существовавшие способы заражения файлов основываются на методе добавления тела вируса в любое место тела программы. Новый вирус W2K.Stream использует возможность файловой системы NTFS (Windows NT/2000) поддерживать множественные потоки данных.
Например, в файловой системе FAT (Windows 95/98) внутренняя структура программы представлена лишь одним потоком - ее телом. В файловой же системе NTFS (Windows NT/2000) таких потоков может быть много. Это и независимые программные модули, и разнообразная дополнительная служебная информация, - к примеру, отметки о шифрации и времени обработки.
Для заражения файлов вирус создает дополнительный поток под именем "STR". Затем в этот поток переносится оригинальное содержимое программы. А на ее место записывается тело вируса. Таким образом, впоследствии при запуске зараженной программы прежде всего выполняется основной поток, содержащий вирус.
Вирус был создан двумя хакерами из Чехии, в конце августа. Пока случаев заражения новинкой зарегистрировано не было. Однако, по мнению "Лаборатории Касперского", его работоспособность и возможность существования в "диком виде" не вызывают сомнений.
"Данный вирус, несомненно, открывает новую страницу в истории создания компьютерных вирусов", - говорит Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", - Технология внедрения в файлы при помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно сложным".
Copyright © 2000-2002 Нетоскоп