Új típusú vírus támadja a Windows 2000-et

, 2000. szeptember 5. 12:58
A KasperskyLab. bejelentette, hogy új Windows 2000-es vírust fedeztek fel, mely a stream-társításon alapuló technológiát használja fel az NTFS fájlrendszerekbe történő beágyazódásához. A jelentések alapján a vírus nem vadonélő.
A korábban ismert fájlfertőzési módszerekkel ellentétben (amikor a vírustest a gazdafájl elejéhez, végéhez vagy egyéb részeihez kapcsolódik) a Stream vírus az NTFS fájlrendszerek (Windows NT/2000) azon tulajdonságát használja ki, amely lehetővé teszi egy állomány több adatfolyamként történő tárolását. A Windows 95/98 fájlok egyetlen adatfolyamot tartalmaznak, ez pedig maga a programkód.

A Windows NT/2000 (NTFS) lehetõvé teszi a felhasználók számára, hogy tetszés szerinti számú adatfolyamot hozzanak létre a fájlon belül: független végrehajtó modulokat, valamint különféle szervizfolyamokat (fájlok hozzáférési jogosultságai, adattitkosítás, műveletidő stb.). Ez az NTFS fájlokat rendkívül rugalmassá teszi, olyan adatfolyamok létrehozását téve így lehetővé, melyek speciális feladatok megoldását célozzák meg.

A "Win2k.Stream" az első olyan vírus, mely az összetett adatfolyamok létrehozásának jellegzetességeit használja az NTFS rendszerben lévő fájlok megfertőzéséhez.

A vírus először létrehoz egy újabb, "STR" nevű adatfolyamot, melybe áthelyezi a gazdaprogram eredeti tartalmát. Ezt követően az eredeti adatfolyamba a víruskódot helyezi. Így azután a program futtatásakor a víruskódra kerül a vezérlés, amely elvégzi szaporodási funkcióit, majd visszaadja a vezérlést a gazdaprogramnak.

A Win2k.Stream vírus részletes leírását az AVP Vírusenciklopédia tartalmazza. A legfrissebb vírusleírások közvetlenül elérhetõk az alábbi URL-ről: http://www.avp.ch/avpve/newdesc.stm

A vírust a program 2000. szeptember 3-a óta ismeri fel.