病毒名稱
Win2000/Stream.3628其它名稱
Win2K.Stream, WNT/Stream病毒屬性
檔案型病毒危害性:低危害流行程度:低具體介紹
Win2000/Stream.3628病毒也被稱為W2K.Stream,WNT/Stream或Win2K.Stream病毒。Win2000/Stream.3628是一個在Windows 2000系統下,感染執行檔的病毒。這個病毒還是一個直接傳染器,所以在將傳染運行時所在目錄下的所有執行檔。Win2000/Stream.3628被認為是一個“驗證概念”病毒,因為它是第一個採用NTFS的選擇性數據流(ADS)的病毒。
當該病毒傳染一個執行檔(如:Notepad.exe)時,將採用NTFS 內置的壓縮格式壓縮該檔案。然後這個被壓縮的檔案被移到一個臨時的位置。病毒代碼覆蓋原檔案,並將原檔案從臨時的位置移到一個檔案名稱:STR的選擇性數據流中,在這個例子中生成的是Notepad.exe:STR。
一旦原檔案的內容被移到一個ADS中,檔案就被隱藏且用標準的NT很難發現。只有使用Windows瀏覽器或命令行指令查看檔案的大小,病毒代碼的大小才能顯示出來,無毒原檔案外附加的長度保存在ADS中不會被顯示。然而,如果從系統中刪除Notepad.exe檔案,檔案按位元組的實際長度,包含串(streams)都將變成系統可用的。
一旦生成了染毒的Notepad.exe:STR,它就能被用戶運行(通過正常的方式),可實際發生的過程是:病毒使用Windows 2000的CreateProcess()調用原Notepad.exe檔案。
