Win2K.Team

Jest to wirus system贸w Windows 2000/XP stosuj膮cy metod臋 infekcji "stream companion", bazuj膮cej na w艂a艣ciwo艣ci systemu plik贸w NTFS pozwalaj膮cej na tworzenie wielu strumieni danych przypisanych do pliku.

Strumienie NTFS

Ka偶dy plik zawiera przynajmniej jeden domy艣lny strumie艅 danych, do kt贸rego dost臋p odbywa si臋 przez nazw臋 pliku. Dodatkowo mo偶e on zawiera膰 inne strumienie, do kt贸rych dost臋p mo偶e odbywa膰 si臋 przez ich prywatne nazwy (nazwa_pliku:nazwa_strumienia).

Domy艣lny strumie艅 pliku jest w艂a艣ciwie jego zawarto艣ci膮. Na przyk艂ad, podczas wykonywania pliku EXE, program jest czytany z domy艣lnego strumienia; je偶eli dokument jest otwierany, jego zawarto艣膰 jest r贸wnie偶 czytana z domy艣lnego strumienia.

Dodatkowe strumienie pliku mog膮 zawiera膰 dowolne dane. Dost臋p do nich lub ich modyfikacja nie mo偶e si臋 odby膰 bez odwo艂ania si臋 do pliku. Usuni臋cie pliku powoduje tak偶e usuni臋cie jego strumieni; zmiana nazwy pliku powoduje odwo艂ywanie si臋 strumieni do pliku o nowej nazwie.

W systemie Windows nie ma astandardowego narz臋dzia umo偶liwiaj膮cego ogl膮danie/redagowanie strumieni pliku. Aby przegl膮da膰 je "r臋cznie" nale偶y u偶y膰 specjalnych narz臋dzi, na przyk艂ad FAR z wtyczk膮 umo偶liwaij膮c膮 przegl膮danie strumienia (skr贸t Ctrl-PgDn pokazuje strumienia dla zaznaczonego pliku).

Uruchamianie si臋 wirusa

Wirus jest aplikacj膮 systemu Windows (w formacie PE EXE) o rozmiarze ok. 4kB. Uruchomienie jej powoduje wykonanie pliku "gospodarza" i pr贸buje zainfekowa膰 wszystkie pliki EXE w bie偶膮cym katalogu. Je偶eli plik "gospodarza" nie jest obecny, przed zainfekowaniem plik贸w wy艣wietla nast臋puj膮cy komunikat:

2002
... and what about the stream?

Podczas infekowania wirus tworzy nowy strumie艅 o nazwie "ccc" (pe艂na nazwa strumienia ma posta膰: "NazwaPliku:ccc") powi膮zany z infekowanym plikiem. Nast臋pnie przemieszcza si臋 do strumienia "ccc" wewn膮trz infekowanego pliku (domy艣lny strumie艅 - patrz wy偶ej) i nadpisuje jego zawarto艣膰 (domy艣lny strumie艅) swoim kodem. W czasie swojego dzia艂ania tworzy w艂asn膮, tymczasow膮 kopi臋 w pliku zawieraj膮cym w nazwie "2002", kt贸ry po infekcji jest usuwany.

W rezultacie, kiedy zainfekowany plik jest wykonywany, system Windows czyta domy艣lny strumie艅 (nadpisany przez kod wirusa) i wykonuje go. Ponadto Widnows pokazuje jednakowy rozmiar wszystkich zainfekowanych plik贸w - wielko艣膰 wirusa.

Aby przekaza膰 kontrol臋 do programu "gospodarza", wirus tworzy nowy proces, odwo艂uj膮c si臋 do oryginalnego pliku przez nazw臋 "NazwaPliku:ccc".

Ta metoda infekcji powinna dzia艂a膰 w ka偶dym systemie NTFS, ale wirus sprawdza wersj臋 systemu i uruchamia si臋 tylko w Win2000/XP.