51462

Erster exklusiver Win2000-Virus

05.09.2000 | 12:22 Uhr |

Ein Virus mit der Bezeichnung WNT/Stream befällt Win 2000-Rechner. Der Virus nutzt die Eigenschaft des NTFS-Dateiensystems aus, das mehrere "Data-Streams" in einer Datei erlaubt. WNT/Stream ersetzt den Hauptdatenstream einer befallenen Datei durch sich selbst.

Ein Virus mit der Bezeichnung WNT/Stream befällt Win 2000-Rechner. Der Virus nutzt die Eigenschaft des NTFS-Dateiensystems aus, das mehrere "Data-Streams" in einer Datei erlaubt. Auch Windows NT verfügt über NTFS, wird aber von WNT/Stream nicht befallen.

NTFS erlaubt das Ausführen mehrerer Data-Streams in einer einzelnen .exe-Datei. Anders als herkömmliche Viren fügt sich WNT/Stream nicht am Anfang oder Ende einer befallenen Datei ein, sondern er ersetzt den Hauptdatenstream durch seinen eigenen Code. Zuvor wird der alte Hauptdatenstream noch in einen neu erschaffenen Stream mit der Bezeichung "STR" verschoben, so dass eine befallene Datei noch wie gewohnt weiter läuft. Gleichzeitig aber verbreitet sich der Virus auf alle .exe-Dateien des aktuellen Verzeichnisses.

WNT/Stream ist eine .exe-Datei, die mit Petite PE EXE Dateienkompressor verpackt ist. Die Größe des Virus liegt bei ungefähr vier Kilobyte. Wenn es die ursprünglich infizierte Datei nicht findet, meldet es sich mit dem Anzeige

"Win2k.Stream by Benny/29A & Ratter

This cell has been infected by [Win2k.Stream] virus!"

Es sind noch keine Fälle bekannt, in denen WNT/Stream außerhalb der Labors der Virenfachleute aufgetaucht ist. Aktuelle Virensoftware ist allerdings schon darauf ausgelegt, den Virus zu beseitigen. (PC-WELT, 05.09.2000, meh)

WNT/Stream in der PC-WELT Virendatenbank

PC-WELT Report: Windows 2000-Dichtung und Wahrheit

Virus zahlt sich aus (PC-WELT Online, 25.08.2000)

Neuer Nachfolger des LoveLetter-Virus (PC-WELT Online, 21.08.2000)

Norton Antivirus Update zurückgezogen (PC-WELT Online, 11.7.2000)

0 Kommentare zu diesem Artikel
51462