689846

Ist NTFS ein Sicherheitsrisiko?

Dateien auf NTFS-Partitionen können versteckte Streams enthalten. Ihres Wissens nutzen einige digitale Schädlinge diese Streams, um sich zu verbreiten. Sind NTFS-Streams nicht generell ein idealer Nistplatz für Viren und Würmer und somit ein erhebliches Sicherheitsrisiko?

Anforderung:

Fortgeschrittener

Zeitaufwand:

Mittel

Problem:

Dateien auf NTFS-Partitionen können versteckte Streams enthalten. Meines Wissens nutzen einige digitale Schädlinge diese Streams, um sich zu verbreiten. Sind NTFS-Streams nicht generell ein idealer Nistplatz für Viren und Würmer und somit ein erhebliches Sicherheitsrisiko?

Lösung:

Seit dem W2K/Streams-Virus aus dem Jahr 2000 nutzten einige Schädlinge die NTFS-Streams, zum Beispiel VBS/Potok-A (2001), W2K.Team (2002), W32/Dumaru (2003) oder der Trojaner Dloader-CS (2004). Die beliebteste Methode besteht dabei darin, sich an die Stelle einer Systemdatei zu setzen und den Code des Originals in den Stream zu verlegen. Wird dann die Systemdatei - etwa eine Rundll32.EXE - aufgerufen, startet in Wahrheit der Virus, der anschließend die Systemdatei aus dem Stream lädt.

Diese und ähnliche Techniken scheinen umso gefährlicher, als die Hersteller von Antiviren-Scannern Streams (Fachbegriff: Alternate Data Streams , kurz ADS) bislang nicht konsequent berücksichtigen. Tatsächlich ist aber die Gefahr durch Streams nicht besonders groß: Wenn sich der Stream-Virus der skizzierten Technik bedient, dann befindet sich der Schadenscode in der Hauptdatei und wird folglich von jedem aktuellen AV-Scanner erkannt. Impft sich ein Virus hingegen komplett in einen Stream, wird ihn die AV-Software zwar nicht finden, aber er kommt dann auch nie zur Ausführung. Nach unserer Einschätzung eröffnen sich damit keine neuen Verbreitungstechniken für Viren. Streams sind nur gute Datenverstecke, es bleibt also allenfalls die Möglichkeit, den sichtbaren Schadenscode zu minimieren und den Rest in Streams auszulagern.

0 Kommentare zu diesem Artikel
689846