Все новости от 6 сентября 2000 г. Новый вирус прячется за старую технологию
Вирус, пришедший из Чехии, заставил производителей антивирусного ПО спешно анализировать способность так называемых «файловых потоков» заражать ПК.
Файловые потоки (file streams) — не путать с аудио/видеопотоками а-ля RealNetworks! — разбивают программы на сегмент, или поток, основного кода и несколько служебных сегментов. Эта технология, используемая для распределения данных между программами, впервые появилась в файловой системе Microsoft Windows NT (NTFS) и присутствует в Windows 2000.
По словам Евгения Касперского, руководителя российской антивирусной компании «Лаборатория Касперского», впервые обнаружившей вирус Stream, злонамеренный код, спрятанный в файловом потоке, обнаружить труднее. «Этот вирус означает новую эру в практике создания компьютерных вирусов, — говорится в заявлении Касперского, распространенном из Москвы. — Технология Stream Companion, которую использует вирус для внедрения в файлы, делает его обнаружение и удаление чрезвычайно трудноосуществимым». Большинство антивирусных сканеров проверяет только основной поток каждой программы и способно пропускать данные, спрятанные в служебных потоках.
Новый ли?
Однако другие специалисты расценивают заявление Касперского как плохо замаскированную саморекламу. «Они ничего не доказывают, кроме того, что данные можно записать в служебный поток», — говорит редактор издания NTBugtraq.com Расс Купер (Russ Cooper), который организовал дискуссию о возможных опасностях, связанных со служебными потоками, еще в 1997 году. Тогда дискутирующие пришли к выводу, что использование системы файловых потоков практически безопасно. «Это чистое теоретизирование, в котором нет ничего нового», — сказал Купер, отметив, что для заражения компьютера необходимо, чтобы вирус попал в основной поток программы. А это сделает его видимым для существующих антивирусных программ.
Вирус, созданный двумя программистами, скрывающимися под псевдонимами Benny/29A и Ratter, только инфицирует файлы, причем делает это не очень эффективно — таково мнение директора по маркетингу продуктов Symantec Патрика Мартина (Patrick Martin). Он рекомендует пользователям не беспокоиться по поводу атаки этих вирусов на их компьютеры. «Это лишь доказательство концепции, — говорит он. — Такой вирус никуда не распространился; в реальных системах его нет».
|
|
| vlad vul - vulmail 6 Sep 2000 5:19 PM |
Вранье и неграмотность. Расширенные атрибуты файлов АКА файловые потоки появились и широко использовались в Макинтошах, и потом в полуоси. |
|
| Zak. 6 Sep 2000 5:45 PM |
Кстати в Макинтошах этих самых потоков (resource fork and data fork) скоро не будет. Хотя МакОС Х их и поддерживает ради совместимости, но всем уже настоятельно рекомендовано при разработке новых приложений использовать только Data fork. |
|
| Irsi - irsiextranet.ru 6 Sep 2000 7:40 PM |
Zak: Хммм... что-то не верится что они совсем откажутся от многопоточной схемы файлов... От старой схемы - наверняка, но имхо нормальный гуй реально организовать только на многопоточных файловых системах... |
|
| Baza - bazasw.ru 6 Sep 2000 8:57 PM |
нормальный гуй = многопоточная файловых система? странное утверждение... |
|
| Skull - andrey_tigeri.am 7 Sep 2000 4:07 AM |
2 Irsi: причем тут гуй и файловая система?? Это все равно что связывать покраску кузова автомобиля и качество шин :) |
|
|