“流伙伴”概念引起一场病毒新革命

今年9月初，一个由捷克斯洛伐克共和国的本尼和瑞特制造的W2K.Stream病毒被发现，由于此病毒是首次利用Windows NT/2000操作系统中的NTFS仅有的多种数量的数据流（ADS）特性进行传播，从而彻底打破了传统病毒的感染方式（传统病毒的感染方式是将病毒代码插入文件内部），引进了“流伙伴”病毒新概念，并使计算机病毒发展到一个新的历程，同时也给国内杀病毒厂家带来了严峻的考验。

在Windows NT/2000操作系统中，若运行如lll.exe文件，即主程序，在NTFS分区下，利用其流特性，会自动运行与主程序同名的流文件，如lll.exe:STR及lll.exe:***，而这些主程序的流文件在Windows NT/2000操作系统中通常被完全隐含。W2K.Stream病毒正是利用NTFS的流特性，对同一路径下的文件进行病毒传播。

当W2K.Stream病毒进行文件感染是，首先把自身病毒代码拷贝到如〈temp〉.EXE临时可执行文件中，然后把将被感染的文件拷贝到〈temp〉.EXE:STR临时可执行流文件中，接着把〈temp〉.EXE改成被感染文件的原名，成为主程序，把〈temp〉.EXE:STR命名为主程序的流文件。因为W2K.Stream病毒是PE格式的压缩文件，长度为3628字节，所以无论原文件有多大，被感染后都变为3628字节，此时文件内容全为病毒代码。例如：当NOTEPAD.EXE文件被感染后，该文件大小变为3628字节，并生成一个主程序的流文件“NOTEPAD.EXE:STR”，其内容与感染前的NOTEPAD.EXE完全相同。当主程序被执行时，该病毒首先检测当前的操作系统，若不是Windows NT/2000，病毒显示一个带有OK键的信息框，标题为：W2K.Stream by Benny/29A&Ratter，内容为：This cell has been infected by [W2K.Stream] virus! 若为Windows NT/2000，该病毒首先感染当前目录下后缀名为.EXE的所有文件，接着运行主程序，利用NTFS的流特性，自动运行主程序的流文件（即被感染文件的原件）。因为流文件在通常情况下是隐含文件，用户无法利用NT命令和标准的Windows 2000应用程序进行查看，所以使W2K.Stream病毒具有很好的隐蔽性，让用户无法察觉。若病毒感染的不是主程序，而是流文件，则彻底改变了当前病毒感染文件的结构方式，以至目前国内所有的杀病毒软件都无法对其查找，更谈不上杀除它了。

在无NTFS功能的操作系统下，如在DOS、Win9X下对带毒文件进行拷贝时，由于系统无法识别流文件，因此只有主程序即病毒代码被拷贝，文件大小都为3628字节。另该病毒对只读属性的文件不进行感染。