“河流3628”病毒（Win2000／Stream.3628）日前被发现，该病毒也被称为W2K.Stream，WNT／Stream或Win2K.Stream病毒。

　　这是一个在Windows2000系统下发作，感染可执行文件的病毒。它还是一个直接传染器，系统运行时所在目录下的所有可执行文件都将被它传染。“河流3628”被认为是一个“验证概念”病毒，因为它是第一个采用NTFS的选择性数据流（ADS）的病毒。

　　当该病毒传染一个可执行文件（如：Notepad.exe）时，将采用NTFS内置的压缩格式压缩该文件。然后这个被压缩的文件被移到一个临时的位置。病毒代码覆盖原文件，并将原文件从临时的位置移到一个文件名：STR的选择性数据流中，最终生成Notepad.exe：STR。

　　一旦原文件的内容被移到一个ADS中，文件就被隐藏且用标准的NT很难发现。只有使用Windows浏览器或命令行指令查看文件的大小，病毒代码的大小才能显示出来，无毒原文件外附加的长度保存在ADS中不会被显示。然而，如果从系统中删除Notepad.exe文件，文件按字节的实际长度，包含串（Streams）都将变成系统可用的。一旦生成了染毒的Notepad.exe：STR，它就能被用户运行（通过正常的方式）。

　　业内人士提醒广大用户，选择使用经过国际多家权威机构认证具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。