Neue gefährliche Virengeneration

Noch nicht in freier Wildbahn gesichtet / Nisten sich im NTFS-Verzeichnis von Windows 2000 und NT ein

Die russischen Antiviren-Experten vom Kaspersky Lab warnen vor einer neuen Generation von Computerviren, die sich selbst mittels einer „Stream Companion“ genannten Methode im NTFS-System von Windows 2000 einnisten. Erster Vertreter dieser neuen Gattung: Der W2K.Stream-Virus.

W2K.Stream ist laut Angaben von Kapersky im August von zwei tschechischen Hackern namens Benny und Ratter geschrieben worden. Zwar sei der Virus noch nicht in freier Wildbahn gesichtet worden, käme er aber ins internationale Netz, stünde es schlecht um die PCs der Internet-Gemeinde.

„Mit Sicherheit beginnt mit diesem Virus eine neue Ära der Computer-Sicherheit“, bekräftigt Firmenboss Eugene Kaspersky die Aussagen seiner Mitarbeiter. „Die ‚Stream Companion‘-Technik macht es extrem schwierig, das Programm mit herkömmlichen Detektoren ausfindig zu machen.“

Entgegen bisher bekannten Methoden der Datei-Infektion, bei denen das Virus sich an den Anfang, an das Ende oder in einen beliebigen Teil der zu infizierenden Datei hinein schreibt, nutzt das Stream-Virus ein spezifisches Feature des NTFS-Systems, das multiple Data Streams zulässt. In Windows 95 oder Windows 98 lässt das FAT-Dateisystem nur einen Data Stream zu – den Programm-Code selbst. Windows NT und Windows 2000 hingegen lassen eine Vielfalt von Neben-Streams in einer Datei zu, die als eigenständig ausführbare Programm-Module fungieren und oder als Servic-Modle Funktionen wie Datei-Zugriffsrechte, Verschlüsselung oder Processing Time ermöglichen.

W2K.Stream ist das erste bekannte Virus, das die multiplen Data Streams des NTFS-Dateisystems nutzt. Es generiert einen zusätzlichen Data Stream mit Namen STR und kopiert den ursprünglichen Inhalt des Programms dort hinein. Dann ersetzt es den eigentlichen Data Stream mit dem Virus-Code. Wenn die infizierte Datei ausgeführt wird, vollendet der Virus die Replizierungs-Prozeduren und übernimmt die vollständige Kontrolle über die Datei.

„Viele Anti-Virenprogramme prüften bisher unter NTFS nur den Haupt-Data Stream und können somit Kontrolle über dieses neue Virus bekommen. Wenn aber die Programmierer sich die Viren in die zusätzlichen Streams schreiben lassen werden, was durchaus möglich ist, werden sich einige Anti-Virenprogramm-Hersteller gezwungen sehen ihre Virus-Engines einem Redesign zu unterziehen“, kommentiert Eugene Kaspersky. „Kaspersky Lab hat bereits in sein AVP Antivirus einen Schutz gegen diese neue Bedrohung implementiert“.

Themenseiten: Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Neue gefährliche Virengeneration

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *