РЕГИСТРАЦИЯ  |  НОВОСТИ  |  ОБРАТНАЯ СВЯЗЬКАК ПИСАТЬ ПРЕСС РЕЛИЗ?  |  ПРИМЕР ПРЕСС-РЕЛИЗА
“...Скромность - самый верный путь к забвению!”
     
Добавить пресс-релиз

Антивирусная лаборатория "ДиалогНауки" сообщает: много шума из ничего..

ДиалогНаука
      13-09-2000
 

Win2k.Benny.3628 является неопасным нерезидентным вирусом-спутником. Оригинальный вариант упакован утилитой сжатия Petite.

✐  место для Вашей рекламы

Вирус проверяет версию операционной системы и по непонятной причине размножается только под Windows 2000, хотя использует алгоритм, который вполне работоспособен и при работе под управлением Windows NT. При запуске вирус пытается инфицировать все EXE-файлы в текущем каталоге.

Признаком заражения служит установленный атрибут сжатия данного файла, и, таким образом, все ранее сжатые средствами NTFS файлы не заражаются. Для внедрения в систему вирус используют файловые потоки (file streams) в файловой системе NTFS. При нахождении подходящего для заражения файла вирус копирует его во временный файл, замещает собой оригинальный код файла-жертвы и копирует содержимое временного файла в поток заражаемого файла с именем STR. При запуске такого инфицированного файла будет запущен код вируса, который произведет попытку заражения системы, описанную выше.

По окончании своей работы вирус передает управление оригинальному файлу, находящемуся в потоке STR. При старте в операционной системе, отличной от Windows 2000, или при невозможности запуска оригинального файла вирус выводит сообщение (это может произойти, например, при переносе или копировании файла, содержащего вирус, на дисковый раздел с файловой системой, не поддерживающей файловые потоки, например, FAT/FAT32): Win2k.Stream by Benny/29A & Ratter This cell has been infected by [Win2k.Stream] virus! Таким образом, данный вирус является довольно примитивным компаньон-вирусом, хотя он и использует оригинальным образом некоторые возможности файловой системы Windows NT/2000.

Следует отметить, что, на наш взгляд, поднятая некоторыми антивирусными компаниями шумиха вокруг данного вируса является не чем иным, как рекламной акцией, организованной с целью запугивания очень доверчивых пользователей. Возможность обитания вирусного кода не в основном файловом потоке призрачна и лишена всяческого "вирусного смысла". Данный вирус не был замечен в "диком виде", но средства его обнаружения и удаления из операционной системы включены в очередное (от 10.09.2000) еженедельное дополнение вирусной базы программы Dоctor Web.

Информационная служба ЗАО "ДиалогHаука" E-mail: Antivir@DialogNauka.ru WWW: http://www.DialogNauka.ru тел./факс: (+7-095) 938-2970, 938-2855

Опубликовано: 13 сентября 2000 г.

Ключевые слова: нет

 


 

Извините, комментариев пока нет