荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Kaler (木儿), 信区: Virus
标 题: “河流”病毒涌向Windows2000
发信站: BBS 荔园晨风站 (Tue Sep 26 17:15:03 2000), 转信
这是一个在Windows2000系统下发作,感染可执行文件的病毒。它还是一个直接传染器
,系统运行时所在目录下的所有可执行文件都将被它传染。“河流3628”被认为是一个
“验证概念”病毒,因为它是第一个采用NTFS的选择性数据流(ADS)的病毒。
当该病毒传染一个可执行文件(如:Notepad.exe)时,将采用NTFS内置的压缩格式压缩该
文件。然后这个被压缩的文件被移到一个临时的位置。病毒代码覆盖原文件,并将原文
件从临时的位置移到一个文件名:STR的选择性数据流中,最终生成Notepad.exe:STR。
一旦原文件的内容被移到一个ADS中,文件就被隐藏且用标准的NT很难发现。只有使用W
indows浏览器或命令行指令查看文件的大小,病毒代码的大小才能显示出来,无毒原文
件外附加的长度保存在ADS中不会被显示。然而,如果从系统中删除Notepad.exe文件,
文件按字节的实际长度,包含串(Streams)都将变成系统可用的。一旦生成了染毒的Not
epad.exe:STR,它就能被用户运行(通过正常的方式)。
业内人士提醒广大用户,选择使用经过国际多家权威机构认证具备完善实时反病毒、查
杀多种压缩文件功能的反病毒软件。
--
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: 192.168.28.71]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店