Team — вирус под Windows 2000/XP

Это Windows 2000/XP-совместимый вирус, который при заражении файлов использует метод «stream companion». Этот метод основан на возможности файловой системы NTFS создавать дополнительные блоки данных («потоки» данных — streams), которые ассоциированы с конкретным файлом.

Потоки данных NTFS

На файловой системе NTFS каждый файл имеет как минимум один стандартный поток данных, к которому можно обратиться по имени файла. Каждый файл может также иметь дополнительные потоки данных, которые имеют свои персональные имена (filename:streamname).

Стандартный поток в файле является собственно телом файла (в до-NTFS-ных терминах). Например, при запуске EXE-файла его код и данные считываются из стандартного потока; при открытии документа его текст считывается также из стандартного потока.

Дополнительные потоки данных в файлах могут иметь данные произвольного типа (например, данные о правах доступа к данному файлу). Они являются принадлежностью файла и жестко к нему привязаны. Потоки данных в файле не могут быть прочитаны и изменены без упоминания имени файла; при удалении файла удаляются все его потоки; при переименовании файла к его потокам затем можно обращаться только при помощи нового имени файла.

Стандартные утилиты просмотра/редактирования потоков данных в поставке Windows отсутствуют. Для «ручного» просмотра можно использовать специализарованные утилиты, например, FAR с необходимым набором «плагинов».

Работа вируса

Вирус является приложением Windows (PE EXE-файл). Имеет размер около 4K. При запуске вирус заражает все файлы в текущем каталоге и возвращает управление программе-носителю. Если программа-носитель отсутствует, вирус показывает следующее сообщение перед заражением файлов:

При заражении файла вирус переносит его тело (стандартный поток) в новый поток (который имеет имя «ccc») и затем записывает свой код в стандартный поток файла. Таким образом, тело зараженного файла (стандартный поток) оказывается замещенным кодом вируса, а первоначалное содержимое файла оказывается перемещенным в его поток. При запуске зараженного файла Windows считывает и выполняет его стандартный поток (т.е. код вируса). Windows
также показывает у всех зараженных файлов одинаковую длину — длину файла-вируса (поскольку Windows сообщает длину только основного потока файла).

Для того, чтобы возвратить управление первоначальному коду зараженного файла, вирус всего-лишь запускает на выполнение соответственный поток файла, используя его имя: «FileName:ccc» (где FileName — имя файла).

Подобный метод заражения должен работать на любой операционной системе, которая поддерживает NTFS, однако вирус проверяет версию ОС и исполняется только в Win2000/XP.