Killer virus per WinNT/2000

Killer virus per WinNT/2000

Si tratta del primo virus conosciuto in grado di sfruttare alcune funzionalità del file system NTFS per celarsi completamente ai motori di scansione antivirus tradizionali. Si fa più dura la battaglia
Si tratta del primo virus conosciuto in grado di sfruttare alcune funzionalità del file system NTFS per celarsi completamente ai motori di scansione antivirus tradizionali. Si fa più dura la battaglia


Mosca (Russia) – Questa volta si tratta davvero di allarme rosso: W2K.Stream, un nuovo virus catturato dai Kaspersky Lab , contiene in sé una nuova tecnologia virale, denominata “Stream Companion”, in grado di infettare i file sotto Windows NT/2000 in modo ancora più subdolo rispetto al “normale”, sfruttando una ben nota funzionalità del file system NTFS.

La tecnica, descritta in dettaglio dai ricercatori russi, si basa sulla capacità del file system NTFS di scrivere più flussi di dati per ogni singolo file: ogni flusso può contenere informazioni aggiuntive quali diritti di accesso, crittazione dei dati, tempo di processo, ecc. Il file system consente inoltre la creazione di flussi di dati definiti dall’utente per le sue necessità. Proprio sfruttando quest’ultima funzionalità, il virus Stream crea un proprio flusso di dati all’interno di un file chimandolo “STR” e riversandovi il contenuto originale del programma infettato. A questo punto il virus sostituisce il flusso principale con il suo proprio codice, con la conseguenza che al primo avvio del file il virus si trasferisce in memoria attivando la procedura di replicazione, per poi cedere nuovamente il controllo al programma.

Il virus, originario della Repubblica Ceca, è stato scritto da un cracker che si fa chiamare Benny and Ratter. E ‘ contenuto all’interno di un file compresso di nome PE.EXE, di circa 4 KB, e si manifesta con la scritta “Win2k.Stream by Benny/29A & Ratter This cell has been infected by Win2k.Stream virus!”

Secondo Eugene Kaspersky, fondatore dell’omonimo laboratorio di ricerca russo, il grande pericolo di questo nuovo metodo di infezione è dato dal fatto che gli antivirus tradizionali controllano solo il flusso di dati principale per ciascun file, senza contare che gli autori di virus modificheranno di continuo questi flussi chiamandoli con nomi sempre differenti.

Per i produttori di software antivirus sembra dunque aprirsi una nuova e più ardua sfida, delicata soprattutto in previsione del fatto che presto Microsoft abbandonerà il file system FAT per adottare NTFS anche nelle versioni consumer dei suoi sistemi operativi.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
6 set 2000
Link copiato negli appunti