Статья только в электронной версии журнала
В. М.
“Лаборатория Касперского” (www.avp.ru) сообщила о появлении вредоносных программ, использующих принципиально новый способ размножения. В отличие от существовавших ранее способов заражения файлов (добавление тела вируса в начало, конец или любое другое место тела программы), они использует возможность файловой системы NTFS (ОС Windows NT/2000), поддерживать множественные потоки данных. Напомним, что в ОС Windows 95/98 (файловая система FAT) внутренняя структура программы представлена лишь одним потоком - собственно ее телом. А в Windows NT/2000 (NTFS) таких потоков может быть много - как независимых программных модулей, так и разнообразной дополнительной служебной информации (права доступа к файлу, отметки о шифрование, времени обработки и т. д.).
Микроб W2K.Stream, созданный в конце августа двумя хакерами из Чехии, “жизнеспособен” в любой операционной системе с NTFS. Для заражения файлов вирус создает дополнительный поток под именем STR, куда и переносит оригинальное содержимое программы. После этого он записывает в основной поток свое тело. Таким образом, при запуске зараженного кода сначала будет выполняться поток с вирусом. После окончания работы этот поток передает управление “родительской” программе.
“Данный “продукт”, несомненно, открывает новую страницу в истории компьютерных вирусов, - утверждает Евгений Касперский. - Технология внедрения в файлы при помощи замещения потоков делает процесс обнаружения и удаления вирусов исключительно сложным”. Тем не менее процедуры защиты от вируса W2K.Stream добавлены в очередное ежедневное обновление антивирусной базы AVP.
“Лаборатория Касперского”: (095) 797-8700.
