11390

Windows hilft Virenscanner auszutricksen

19.05.2006 | 09:39 Uhr |

Eine Windows-DLL macht Fehler bei der Umwandlung von Pfadangaben.

Unter Windows gibt es unterschiedliche Notationen für Dateipfade. Eine DLL, die diese Notationen ineinander umwandelt, enthält einen Fehler, den Malware ausnutzen könnte, um unerkannt zu bleiben.

Die meisten Anwender kennen nur die übliche DOS-Notation für Pfadangaben, also zum Beispiel "c:\windows\system32". Daneben existiert jedoch noch die mit Windows NT eingeführte Unicode-Schreibweise, die auch den Rechnernamen oder allgemeiner den einer Netzwerk-Ressource mit einschließt, beispielsweise "\\Server01\c:\windows\system32".

Die Systembibliothek "ntdll.dll" dient zur Umwandlung beider Schreibweisen. Wurde beim Erstellen eines Verzeichnisses oder einer Datei der Name mit einem oder mehreren abschließenden Leerzeichen angegeben, übersieht die ntdll.dll diese und schneidet sie bei Zugriffen ab. Das könnten etwa Trojanische Pferde oder Würmer ausnutzen, wenn Antivirus- und andere Schutzprogramme nur über die Programmierschnittstelle von Windows (Windows-API) auf Dateien und Verzeichnisse zugreifen.

Beim Umwandeln einer DOS-Pfadangabe in die Unicode-Notation werden die Leerzeichen abgeschnitten, eine Datei wird also nicht gefunden und kann demzufolge auch nicht gescannt oder gelöscht werden. Existieren in einem Verzeichnis zwei Dateien, deren Namen sich nur durch ein abschließendes Leerzeichen unterscheiden, finden alle Dateioperationen nur mit der Datei statt, deren Name kein Leerzeichen am Ende hat.

Von dem Problem betroffen sind unter anderem etliche Antivirus- und Anti-Spyware-Programme, wie Security Focus berichtet. Die Liste reicht von Antivir über Bitdefender, Kaspersky und Lavasoft bis Symantec/Norton und Webroot. Einige erkennen zwar Schädlinge, die auf diese Weise getarnt sind, können sie dann jedoch nicht löschen. Andere Viren- und Spyware-Scanner sind auf diesem Auge völlig blind.

Der Fehler liegt ursächlich bei Microsoft, die anderen Software-Hersteller müssen sich jedoch auf das Problem einrichten und ihren Programmen andere Methoden beibringen, auf Dateien zuzugreifen. Dies ist durchaus möglich, wie nicht betroffene Produkte, etwa von McAfee oder Panda, zeigen.

0 Kommentare zu diesem Artikel
11390