AVEN Geschrieben 2. November 2000 Geschrieben 2. November 2000 Neuer Virus unterläuft alle Virenscanner In Hacker-Kreisen ist eine völlig neue Viren-Variante aufgetaucht, die alle bis jetzt implementierten Abwehrmaßnamen unterläuft. Windows-NT/2000-User könnten schon bald den neuen Stream-Viren schutzlos ausgeliefert sein. Das Virus W2K.Streams, der erste Vertreter dieser neuen Gattung, wurde am Wochenende vom russischen Antiviren-Spezialisten Kaspersky Lab entdeckt. Zwei Hacker mit den Decknamen Benny und Ratter hatten W2K.Streams offenbar Ende August entwickelt. Das Virus nutzt eine bahnbrechende neue Technik auf Basis von NTFS-Datei-Streams, um sich auf NTFS-Filesystemen einzunisten. Im Gegensatz zu bisher gängigen Viren - sie hängen sich an Dateibeginn oder -ende an beziehungsweise betten sich in den Programm-Code ein - nutzt W2K.Streams ein spezielles Feature des NTFS-Filesystems von Windows NT/2000 aus: die Aufteilung von Dateien in mehrere Streams. Funktionsweise: In Win9x etwa existiert lediglich ein Stream, der Programm-Code selbst. WinNT/2K ermöglicht dagegen, eine Datei über mehrere Streams (über filename:streamname) anzusprechen. Zu diesen können unabhängig ausführbaren Programm-Modulen oder auch Service-Streams (Zugriffsrechte, Verschlüsselungsdaten, Verarbeitungszeit usw.) zählen. Dieses Merkmal macht das NTFS -Dateisystem sehr vielseitig verwendbar, da sich für spezifische Aufgabenstellungen jeweils angepasste Daten-Streams erzeugen lassen. So funktioniert W2K.Streams: Der Virus ersetzt den Haupt-Stream der Datei durch seinen Code. W2K.Stream ist der erste bekannte Virus, der dieses Feature nutzt, um über multiple Streams Dateien auf NTFS-Filesystemen zu infizieren. Dazu erzeugt das neue Virus einen Stream namens STR und kopiert den ursprünglichen Datei-Inhalt dorthin. Dann ersetzt es den Haupt-Stream durch den Virus-Code. Wird das so infizierte Programm später gestartet, übernimmt der Virus die Kontrolle und beginnt mit seiner Replikation in andere Daten-Streams. Anschließend übergibt er durch die Erzeugung eines neuen Prozesses für filename:STR die Kontrolle an den eigentlichen Programm-Code. Erkennung und Abwehr Zwar gefährdet die neue Virus-Variante alle Rechner mit NTFS-Dateisystem, bislang attackiert W2K.Streams jedoch lediglich Windows2000-Maschinen. Das als Windows-Anwendung programmierte und per EXE-Packer komprimierte Schadprogramm hat eine Länge von 4 KByte. Wird es gestartet, infiziert es alle Anwendungen im momentan aktiven Verzeichnis. Die befallenen Files lassen sich leicht erkennen: Sie haben alle die Länge 4 KByte, da Windows die Größe des Haupt-Streams als Dateigröße ausgibt. W2K.Streams in Aktion: Fehlermeldung einer befallenen Datei. Tritt während der Virus-Ausführung ein Fehler auf, meldet sich W2K-Streams mit einem Message-Fenster zu Wort: "This cell has been infected by [Win2k.Stream] virus!". Durch Löschen der befallenen Dateien lässt sich auch der Virus entfernen, da Windows in diesem Fall alle Streams mit löscht. Bei schlichtem Umbenennen der Files folgt der Stream dagegen dem neuen Namen. Gefahr im Verzug Im Moment bedeutet W2K-Streams noch keine akute Gefahr, da es sich lediglich im Haupt-Stream einnistet. Den überprüfen jedoch alle Antiviren-Programme. "Der Schutz gegen diesen spezifischen Virus gestaltet sich unproblematisch", erläutert Eugene Kaspersky, der Forschungs-Leiter von Kaspersky Lab. "Allerdings könnten neue Varianten des Virus andere Streams angreifen. In diesem Fall würden die momentanen Antiviren-Programme völlig wirkungslos, die Antiviren-Engines müssten komplett überarbeitet werden." Der Grund: Bislang scannt kein Antiviren-Tool auch die Neben-Streams einer Datei. Zwar sind laut Kaspersky bislang noch keine Infektionen mit dem Virus bekannt geworden, die destruktiven Kapazitäten des Virus schätzt man jedoch als beträchtlich ein. Angesichts des bekannten "Spieltriebs" der Viren-Freaks - man denke nur an die zahlreichen Varianten des VBS.Loveletter - werden mit Sicherheit schon bald virulentere Spielarten des W2K.Streams in der freien Wildlaufbahn auftauchen. Falls Sie also einen Rechner mit NTFS -Dateisystem Ihr Eigen nennen, sollten Sie in nächster Zeit regelmäßig die Site Ihres Antiviren-Herstellers nach Programm-Updates überprüfen Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.