Virus Stream

Win2k/Stream infecta Windows® 2000/NT con NTFS

Win2K/Stream

El virus Stream, es el primero virus que hace uso de la capacidad de Windows 2000 para dividir un archivo en sub-archivos, conocidos como “streams”, en el caso de que tengan NTFS (New Technology File System), que es un formato de sistema de archivos, más avanzado de lo que conocemos como FAT32 en Windows 98. Sin embargo, nada impide que sus autores, auto-identificados a través de su propio sitio web en Internet, puedan crear variantes para Windows NT.

Windows 2000 permite vincular varios archivos en uno solo, mediante "streams", al cual se puede acceder en forma individual. Al infectar un archivo, el virus Win2k/Stream inmediatamente crea un sub-archivo Stream, con el nombre del archivo original y al cual agrega la extensión: STR. El archivo original queda oculto y si estuviese asociado a un icono de acceso directo, éste es cambiado, con lo cual ya no puede ser ejecutado por el usuario.

Ejemplo:

Archivo original : PBRUSH.EXE

Archivo infectado: PBRUSH.EXE:STR

Estado de archivo original: PBRUSH.EXE (oculto)

Si se infectase el programa PBRUSH.EXE éste se copiará al sub-archivo PBRUSH.EXE:STR, quedando oculto el programa original. Si se ejecuta en una partición, que no esté en formato NTFS, el daño es aún mayor ya que se corromperán los archivos infectados, no siendo posible recuperarlos.

Win2K/Stream no se auto-envía a los buzones de correo de la libreta de direcciones de los programas de correo electrónico, tan sólo se difunde a través de la transferencia de archivos ejecutables previamente infectados, aunque puede transmitirse en archivos anexados a mensajes de correo, al descargar programas desde sitios web en Internet sospechosos, desde cualquier medio de almacenamiento tales como diskettes, discos duros, CD-ROM, ZIP drives, etc. o en cualquier plataforma de redes Microsoft.

El virus Win2K/Stream está comprimido mediante la aplicación Petite PE, llegando a tener una extensión de apenas 3,628 bytes. Al abrirse el archivo infectado, Win2K/Stream se inserta en todos los programas ejecutables del directorio activo, colocando el contenido del archivo original en un "stream" oculto y reemplaza el contenido del stream original por defecto, con su propio código.

A partir de la infección, cada vez que el usuario trate de acceder a este archivo, en su lugar estará ejecutando el Win2K/Stream. El archivo infectado se incrementará o decremantará en su extensión, así como el ícono asociado al mismo será cambiado.

Windows® tan sólo leerá el archivo infectado "PBRUSH.EXE" y procederá a abrir el sub-archivo creado "PBRUSH.EXE:STR" y lo ejecutará. Si no lo puede abrir, mostrará en pantalla este mensaje:

====Win32.Stream by Benny/29A & Ratter ==============

This cell has been infected by [Win32.Stream] virus

================================================

Sus autores, difunden su creación en Internet, haciendo alusión a que "El virus Win2k/Stream es un pequeño pero interesante virus, codificado por mí y Ratter. Emplea las capacidades de NTFS, tales como compresión de datos y file streamz. Fue creado para demostrar que las nuevas prestaciones del formato NTFS son muy útiles para los virus y para generar infecciones basadas en file streamz."

El autor de este virus es un joven checoslovaco de 18 años, quien incluso se auto-promociona a través de su propia página web:

http://www.coderz.net/benny, actualmente clausurada.

PER ANTIVIRUS® detecta y elimina eficientemente este virus, así como sus variantes y aquellas por crearse.