| |
|
Windows 2000/XP下的蠕虫Team在蔓延 反病毒专家警告称,日前在互联网上又出现一种新的蠕虫病毒"Team",这是一个Windows 2000/XP下的兼容病毒,感染文件时使用“stream companion”方法。该方法是建立在NTFS文件系统创建的补充数据流之上的。 NTFS数据流 在NTFS文件系统中,每个文件至少有一个标准的数据流,可以使用文件名来指向这些数据流。给个文件还可以有补充的数据流,它们拥有自己的私名(filename:streamname)。 标准流在文件中是文件的躯体,比如,在执行exe文件时,其代码和数据是从标准数据流中被读取的,在打开文本文档时,文本也是从标准数据流中被读取的。 补充数据流在文件中可以拥有任意类型的数据(比如,该文件的权限数据)。它们是文件的附属,并紧密的和文件捆绑在一起的。如果没有提及到文件名的话,文件的数据流是不可已被改变的;文件被删除时,所有的流被删除;当对文件进行重命名,以后对该文件流的采访只能通过新文件名。 在Windows中,没有包含得有可以展示和编辑文件数据流的应用程序,可以使用专门的程序“手动”看流。比如包含得有必要plugins的FAR文件管理器(RAR压缩软件作者的另一作品)。 病毒的工作原理 病毒是Windows PE EXE应用程序。大约4K。在病毒运行时,感染当前目录下所有的文件,并把控制权返回给原程序携带体。如果没有程序携带体,病毒在感染文件前显示以下信息: 在感染文件时,病毒把原文件的躯体(标准流)搬到新的流中(该流有“ccc”的名称),然后把自己的代码写入到标准流中。这样,被感染文件的标准流中已经是病毒代码了,而原始的标准流已经被偏移。在运行感染文件时,Windows读取执行标准流(即病毒代码)。同样,因为Windows报告文件大小只按标准流,所以,所有被感染文件都有一样的大小。 为了把控制权返回到原始被感染程序,病毒只是执行一下对应文件的流:"FileName:ccc" 该方法应可以在所有支持NTFS的系统上起作用,但病毒校验操作系统版本,并只在Win2000/XP上执行。 |
| Copyright By「黑白网络工作室」2002 All Rights Reserve |