病毒名称：Win2000/Stream.3628

其它名称：Win2K.Stream, WNT/Stream

病毒属性：文件型病毒 危害性：低危害 流行程度：低

具体介绍：

Win2000/Stream.3628病毒也被称为W2K.Stream，WNT/Stream或Win2K.Stream病毒。

Win2000/Stream.3628是一个在Windows 2000系统下，感染可执行文件的病毒。这个病毒还是一个直接传染器，所以在将传染运行时所在目录下的所有可执行文件。Win2000/Stream.3628被认为是一个“验证概念”病毒，因为它是第一个采用NTFS的选择性数据流（ADS）的病毒。

当该病毒传染一个可执行文件（如：Notepad.exe）时，将采用NTFS 内置的压缩格式压缩该文件，然后这个被压缩的文件被移到一个临时的位置。病毒代码覆盖原文件，并将原文件从临时的位置移到一个文件名:STR的选择性数据流中，在这个例子中生成的是Notepad.exe:STR。

一旦原文件的内容被移到一个ADS中，文件就被隐藏且用标准的NT很难发现。只有使用Windows浏览器或命令行指令查看文件的大小，病毒代码的大小才能显示出来，无毒原文件外附加的长度保存在ADS中不会被显示。然而，如果从系统中删除Notepad.exe文件，文件按字节的实际长度，包含串（streams）都将变成系统可用的。

一旦生成了染毒的Notepad.exe:STR，它就能被用户运行（通过正常的方式），可实际发生的过程是：病毒使用Windows 2000的CreateProcess()调用原Notepad.exe文件。