W2K.Stream: новое поколение вирусов для Windows 2000

«Лаборатория Касперского» сообщает об обнаружении вируса W2K.Stream
— нового поколения вредоносных программ для операционной системы Windows 2000.
Данный вирус использует новый радикальный способ внедрения в файловую систему
NTFS, основанный на применении метода замещения потоков (Stream Companion).

Вирус был создан в конце августа двумя хакерами из Чехии под кодовыми названиями
Benny и Ratter. На данный момент случаев заражения вирусом зарегистрировано
не было, однако его работоспособность и присутствие всех необходимых функций
для существования в «диком виде» не вызывают сомнений.

«Данный вирус, несомненно, открывает новую страницу в истории создания
компьютерных вирусов», — комментирует Евгений Касперский, руководитель
антивирусных исследований компании, — «Технология внедрения в файлы при
помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно
сложным».

В отличие от существовавших ранее способов заражения файлов (добавление тела
вируса в начало, конец или любое другое место тела программы), «Stream»
использует возможность файловой системы NTFS (Windows NT/2000) поддерживать
множественные потоки данных. Например, в файлах Windows 95/98 (FAT) внутренняя
структура программы представлена лишь одним потоком — собственно ее телом. В
Windows NT/2000 (NTFS) таких потоков может быть много: как независимых программных
модулей, так и разнообразной дополнительной служебной информации (права доступа
к файлу, отметки о шифрации, времени обработки и т.д.). Это придает файлу гибкость,
позволяя пользователям создавать новые потоки данных для хранения дополнительных
атрибутов файлов или целых программ.

«Stream» первым из известных вирусов использует возможность создавать
множественные потоки данных NTFS для заражения файлов. Для этого он выполняет
следующую последовательность действий. Сначала вирус создает дополнительный
поток под именем «STR» и переносит туда оригинальное содержимое программы.
После этого он записывает свое тело в основной поток вместо самой программы.
Таким образом, при запуске зараженной программы сначала будет выполняться основной
поток, содержащий вирус, который после окончания работы передаст управление
«родительской» программе.

Процедура заражения файлов вирусом «Stream»

«По умолчанию, антивирусные программы проверяют только основной поток.
В случае с данным вирусом проблем с его обнаружением и удалением ни у кого не
возникнет», — продолжает Евгений Касперский, — «Однако, нет никаких
гарантий, что вирусы не «переползут» в дополнительные потоки. В таком
случае, большинству антивирусных компаний просто придется кардинально перестраивать
их программы».

Процедуры защиты от вируса «Stream» добавлены в очередное ежедневное
обновление антивирусной базы «Антивируса Касперского». Пожалуйста,
обновите Ваш антивирус.

Технические подробности