[ virus.neobee.net ] -Stream.A

VIRUS INFO
Naziv virusa:	W2K.Stream.A
Alias:	WNT/Stream,Win2K.Stream, Stream.A
Tip:	Win32 izvršni fajl virus
Način širenja:	zaraženim fajlovima
Veličina:	3 628 bajtova
Destruktivan:	ne
Datum aktiviranja:
Otkriven:	12.09.2000.

OBJAŠNJENJE
Ovaj virus predstavlja novu generaciju virusa koja tek treba da se pojavi. Specifičan je po tome što koristi naprednu tehniku da bi se proširio na sistemima na kojima je instaliran Microsoft Windows NT4/2000 sa NTFS fajl sistemom. Virus koristi NTFS funkciju Alternative Data Streams (ADS) da bi zarazio sve izvršne fajlove u direktorijumu.
NTFS koristi mehanizam pakovanja fajlova malko drugačiji od običnog FAT16 (Windows 95) ili FAT32 (Windows 95 SR2, Windows 98, Windows 98 SE, Windows 2000).
Spakovan je sa Petite PE EXE fajl kompresorom.

Kada se startuje zaraženi fajl, virus inficira sve izvršne fajlove koji postoje u tom direktorijumu i ostane u memoriji tako da inficira sve izvršne fajlove kada korisnik startuje neki drugi izvršni fajl iz nekog drugog direktorijuma.
Kada virus inficira neki fajl, on kreira link koji ga povezuje sa originalnim fajlom. Taj link se zove "STR", odnosno "Ime_fajla:STR". Virus onda ukloni ceo originalni fajl u "STR" link a u fajl koji ostane na taj lokaciji ubaci svoj kod. Kao rezultat ovoga, kada korisnik startuje fajl, prvo će se startovati virus pa tek onda program. Windows će prijavljivati da svi fajlovi koji su zaraženi imaju istu veličinu. Da bi korisnik makar privremeno izbegao startovanje virusa, svaki fajl koji je zaražen treba da se startuje kao "Ime_fajla:STR".
Ako korisnik obriše zaraženi fajl, onda će obisati i originalni fajl.

Virus ponekad ispisuje poruku:
Win2k.Stream by Benny/29A & Ratter
This cell has been infected by [Win2k.Stream] virus!

Kopiranjem na disketu ili na hard disk sa FAT16 ili FAT32, korisnik će samo iskopirati virus.

Ovaj virus su napisali Benny/29A i Ratter iz Češke.

REŠENJE
Ovaj virus je samo napisan, ali nije pušten u svet. Ja sam bio u obavezi da Vas obavestim da postoji i ovaj virus, ali pošto ga nema niko, znači da niko nije u opasnosti. Ako se bude pojavio, bićete među prvima obavešteni.
Već sada postoji i rešenje za ovakve probleme koje se nalazi na CD-u NT Resource Kit. Alatka se zove POSIX.
Ako želite neki fajl da spasete treba da otkucate sledeće u MS-DOS prozoru:
CAT < Ime_fajla >.exe:STR > < Novo_ime_fajla>.exe
COPY /B < Novo_ime_fajla >.exe < Ime_fajla >.exe.

Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.