Alternate Data Streams als Versteck für SchädlingeMicrosofts NTFS-Dateisystem unterstützt Alternate Data Streams, um zusätzliche Informationen zu einer Datei zu speichern. Auch Schädlinge können sich in solchen Streams verstecken. Anderthalb Jahre nach dem ersten ADS-Test von 18 Virenscannern erkennen aber immer noch nicht alle Produkte Malware in ADS zuverlässig.Oktober 2004 testete heise Security erstmals, welche Virenscanner Schädlinge in Alternate Data Streams (ADS) erkennen (Gefahr aus der Schattenwelt, Teil 1) und kam zu dem Ergebnis, dass einige Hersteller ihre Hausaufgaben nicht gemacht hatten.
Bereits seit Windows NT 3.51 unterstützt das von Microsoft entwickelte Dateisystem NTFS (NT File System) ADS. Darin kann das Betriebssystem zusätzliche Informationen zu einer Datei ablegen, beispielsweise die mit Service Pack 2 eingeführten ZoneIDs, um Dateien als aus dem Internet stammend zu kennzeichnen. Auch Windows-Applikationen nutzen solche Streams seit langem und speichern dort etwa Miniaturbilder für die Vorschau.
Solch ein Stream lässt sich aber weder mit dem DOS-Kommando dir noch mit dem Windows Explorer anzeigen. Alles was man sieht, ist die Datei, der Stream ist quasi unsichtbar. Selbst wenn der Anwender oder eine Applikation mehrere MByte in den Stream schreibt, bleibt die Größe der Datei unverändert. Sogar an ein Verzeichnis lässt sich ein ADS binden. Streams eignen sich somit hervorragend, um Daten zu verstecken, was auch Schädlinge ausnutzen.
Von den 18 im Jahr 2004 getesteten Produkte versagten fünf sowohl beim On-Demand-Scan als auch bei der On-Access-Erkennung. Nur fünf Viren-Wächter schützten zuverlässig vor einem in einen Stream geschriebenen Schädling und erkannten ihn On-Demand und On-Access. Anderthalb Jahre später nutzen immer mehr Schädlinge die Möglichkeit, sich in Streams zu verstecken, wie aktuell der Wurm Mailbot. Insbesondere durch die zunehmende Verbeitung von Windows-Rootkits wird es ebenfalls immer wichtiger, schädliche Daten in ADS zu finden und zu eliminieren. Grund genug für uns, den Überblick zu aktualisieren.
Zweite EtappeDazu haben wir die Ergebnisse der letzten Virenscanner-Tests der c't um zusätzliche Resultate von AV-Test ergänzt. Das Resultat kann sich sehen lassen: Deutlich mehr Produkte als zuvor erkennen jetzt Viren auch in Streams; einen Totalausfall gibt es jedoch weiterhin: F-Prot sucht noch immer nicht in Streams. Neun Produkte erkennen Viren in ADS sowohl On-Demand und On-Access -- unter ihnen auch Symantec, deren Scanner beim ADS-Test 2004 völlig versagte und nun ADS in beiden Verfahren unterstützt. Auch Trend Micro hat sich verbessert. Deren Scannner war zwar bereits in früheren Versionen prinzipiell in der Lage ADS On-Demand zu scannen, allerdings musste diese Option über einen Registry-Key aktiviert werden. In der aktuellen Version 2006 durchsucht der Scanner Streams standardmäßig immerhin On-Access nach Malware.
Auch BitDefender sucht nun On-Access nach Viren in ADS, On-Demand findet der Scanner allerdings nichts. Genau andersherum verhält es sich mit Virus Utilities von Ikarus. Das Produkt erkennt Schädlingen in ADS nur On-Demand, nicht jedoch im On-Access-Verfahren. Etwas überrascht waren wir von Norman Virus Control, das 2004 noch kompletten Schutz bot, nun aber nur noch On-Access den Rechner überwacht. Eine Antwort vom Hersteller zu diesem Sachverhalt blieb bis Redaktionsschluss dieses Artikels aus.
FazitDie meisten Hersteller haben ihre Hausaufgaben gemacht und schützen nun auch vor Schädlingen in ADS -- und sei es nur On-Access. Beide Disziplinen meistern derzeit Antivir 7, AntiVirenKit 2006, Anti-Virus 2006, DrWeb, EZ Antivirus, Kaspersky AV Personal, McAfee Virusscan, NOD32 und Norton Antivirus 2006. Nicht empfehlen kann man die Virus Utilities von Ikarus und F-Prot, da beide Produkte nicht in Echtzeit vor ADS-Schädlingen schützen. In der angekündigten Version 4.0 von F-Prot soll das Manko laut Hersteller aber behoben sein.
Quelle , Links und mehr :
http://www.heise.de/security/artikel/74641
