Архив

W2K.Stream: новое поколение вирусов для Windows 2000

«Лаборатория Касперского» сообщает об обнаружении вируса W2K.Stream
— нового поколения вредоносных программ для операционной системы Windows 2000.
Данный вирус использует новый радикальный способ внедрения в файловую систему
NTFS, основанный на применении метода замещения потоков (Stream Companion).

Вирус был создан в конце августа двумя хакерами из Чехии под кодовыми названиями
Benny и Ratter. На данный момент случаев заражения вирусом зарегистрировано
не было, однако его работоспособность и присутствие всех необходимых функций
для существования в «диком виде» не вызывают сомнений.

«Данный вирус, несомненно, открывает новую страницу в истории создания
компьютерных вирусов», — комментирует Евгений Касперский, руководитель
антивирусных исследований компании, — «Технология внедрения в файлы при
помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно
сложным».

В отличие от существовавших ранее способов заражения файлов (добавление тела
вируса в начало, конец или любое другое место тела программы), «Stream»
использует возможность файловой системы NTFS (Windows NT/2000) поддерживать
множественные потоки данных. Например, в файлах Windows 95/98 (FAT) внутренняя
структура программы представлена лишь одним потоком — собственно ее телом. В
Windows NT/2000 (NTFS) таких потоков может быть много: как независимых программных
модулей, так и разнообразной дополнительной служебной информации (права доступа
к файлу, отметки о шифрации, времени обработки и т.д.). Это придает файлу гибкость,
позволяя пользователям создавать новые потоки данных для хранения дополнительных
атрибутов файлов или целых программ.

«Stream» первым из известных вирусов использует возможность создавать
множественные потоки данных NTFS для заражения файлов. Для этого он выполняет
следующую последовательность действий. Сначала вирус создает дополнительный
поток под именем «STR» и переносит туда оригинальное содержимое программы.
После этого он записывает свое тело в основной поток вместо самой программы.
Таким образом, при запуске зараженной программы сначала будет выполняться основной
поток, содержащий вирус, который после окончания работы передаст управление
«родительской» программе.

Процедура заражения файлов вирусом «Stream»

Файл
до заражения
Файл
после заражения

основной
поток

тело
программы

служебные
потоки
основной
поток

вирус

дополнительный
поток
тело программы

служебные
потоки

«По умолчанию, антивирусные программы проверяют только основной поток.
В случае с данным вирусом проблем с его обнаружением и удалением ни у кого не
возникнет», — продолжает Евгений Касперский, — «Однако, нет никаких
гарантий, что вирусы не «переползут» в дополнительные потоки. В таком
случае, большинству антивирусных компаний просто придется кардинально перестраивать
их программы».

Процедуры защиты от вируса «Stream» добавлены в очередное ежедневное
обновление антивирусной базы «Антивируса Касперского». Пожалуйста,
обновите Ваш антивирус.

Технические подробности

W2K.Stream: новое поколение вирусов для Windows 2000

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике