Обнаружен вирус для операционной системы Windows 2000, использующий совершенно новый метод внедрения в файловую систему. Об этом в понедельник сообщила ««.
Ранее существовавшие способы заражения файлов основываются на методе добавления тела вируса в любое место тела программы. Новый вирус W2K.Stream использует возможность файловой системы NTFS (Windows NT/2000) поддерживать множественные потоки данных.
Например, в файловой системе FAT (Windows 95/98) внутренняя структура программы представлена лишь одним потоком — ее телом. В файловой же системе NTFS (Windows NT/2000) таких потоков может быть много. Это и независимые программные модули, и разнообразная дополнительная служебная информация, — к примеру, отметки о шифрации и времени обработки.
Для заражения файлов вирус создает дополнительный поток под именем «STR». Затем в этот поток переносится оригинальное содержимое программы. А на ее место записывается тело вируса. Таким образом, впоследствии при запуске зараженной программы прежде всего выполняется основной поток, содержащий вирус.
Вирус был создан двумя хакерами из Чехии, в конце августа. Пока случаев заражения новинкой зарегистрировано не было. Однако, по мнению «Лаборатории Касперского», его работоспособность и возможность существования в «диком виде» не вызывают сомнений.
«Данный вирус, несомненно, открывает новую страницу в истории создания компьютерных вирусов», — говорит Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского», — Технология внедрения в файлы при помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно сложным».
 |
|
| ССЫЛКИ ПО ТЕМЕ | |
|
|
| МАТЕРИАЛЫ ПО ТЕМЕ | |
Все «троянские кони» прискакали с Филиппин — 04.09.00
В компьютере Palm пойман «троян» — 29.08.00
Новый «троянец» рассылается с адреса [email protected] — 23.08.00
.html»>За вирус «I love you» никого не посадят — 22.08.00
Страшный вирус «I love you» возвращается в новом обличьи — 17.08.00