发信人: y2kill()
整理人: snaix(2000-10-03 21:03:29), 站内信件
|
Win2000/Stream.3628特征:
Win2000/Stream.3628病毒也被称为W2K.Stream,WNT/Stream或Win2K.Stream病毒 。
Win2000/Stream.3628是一个在Windows 2000系统下,感染可执行文件的病毒。这 个病毒还是一个直接传染器,所以在将传染运行时所在目录下的所有可执行文件 。Win2000/Stream.3628被认为是一个“验证概念”病毒,因为它是第一个采用N TFS的选择性数据流(ADS)的病毒。
当该病毒传染一个可执行文件(如:Notepad.exe)时,将采用NTFS 内置的压缩 格式压缩该文件。然后这个被压缩的文件被移到一个临时的位置。病毒代码覆盖 原文件,并将原文件从临时的位置移到一个文件名:STR的选择性数据流中,在这 个例子中生成的是Notepad.exe:STR。
一旦原文件的内容被移到一个ADS中,文件就被隐藏且用标准的NT很难发现。只 有使用Windows浏览器或命令行指令查看文件的大小,病毒代码的大小才能显示出 来,无毒原文件外附加的长度保存在ADS中不会被显示。然而,如果从系统中删除 Notepad.exe文件,文件按字节的实际长度,包含串(streams)都将变成系统可 用的。
一旦生成了染毒的Notepad.exe:STR,它就能被用户运行(通过正常的方式), 可实际发生的过程是:病毒使用Windows 2000的CreateProcess()调用原Notepad .exe文件。
检测及清除:
KILL15.44版(9月8日)可以检测出Win2000/Stream.3628病毒。染毒的文件需要 用干净的无毒备份文件来恢复。
-- ※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 155.35.248.67]
|
|