Die russischen Antiviren-Experten vom Kaspersky Lab warnen vor einer neuen Generation von Computerviren, die sich selbst mittels einer „Stream Companion“ genannten Methode im NTFS-System von Windows 2000 einnisten. Erster Vertreter dieser neuen Gattung: Der W2K.Stream-Virus.
W2K.Stream ist laut Angaben von Kapersky im August von zwei tschechischen Hackern namens Benny und Ratter geschrieben worden. Zwar sei der Virus noch nicht in freier Wildbahn gesichtet worden, käme er aber ins internationale Netz, stünde es schlecht um die PCs der Internet-Gemeinde.
„Mit Sicherheit beginnt mit diesem Virus eine neue Ära der Computer-Sicherheit“, bekräftigt Firmenboss Eugene Kaspersky die Aussagen seiner Mitarbeiter. „Die ‚Stream Companion‘-Technik macht es extrem schwierig, das Programm mit herkömmlichen Detektoren ausfindig zu machen.“
Entgegen bisher bekannten Methoden der Datei-Infektion, bei denen das Virus sich an den Anfang, an das Ende oder in einen beliebigen Teil der zu infizierenden Datei hinein schreibt, nutzt das Stream-Virus ein spezifisches Feature des NTFS-Systems, das multiple Data Streams zulässt. In Windows 95 oder Windows 98 lässt das FAT-Dateisystem nur einen Data Stream zu – den Programm-Code selbst. Windows NT und Windows 2000 hingegen lassen eine Vielfalt von Neben-Streams in einer Datei zu, die als eigenständig ausführbare Programm-Module fungieren und oder als Servic-Modle Funktionen wie Datei-Zugriffsrechte, Verschlüsselung oder Processing Time ermöglichen.
W2K.Stream ist das erste bekannte Virus, das die multiplen Data Streams des NTFS-Dateisystems nutzt. Es generiert einen zusätzlichen Data Stream mit Namen STR und kopiert den ursprünglichen Inhalt des Programms dort hinein. Dann ersetzt es den eigentlichen Data Stream mit dem Virus-Code. Wenn die infizierte Datei ausgeführt wird, vollendet der Virus die Replizierungs-Prozeduren und übernimmt die vollständige Kontrolle über die Datei.
„Viele Anti-Virenprogramme prüften bisher unter NTFS nur den Haupt-Data Stream und können somit Kontrolle über dieses neue Virus bekommen. Wenn aber die Programmierer sich die Viren in die zusätzlichen Streams schreiben lassen werden, was durchaus möglich ist, werden sich einige Anti-Virenprogramm-Hersteller gezwungen sehen ihre Virus-Engines einem Redesign zu unterziehen“, kommentiert Eugene Kaspersky. „Kaspersky Lab hat bereits in sein AVP Antivirus einen Schutz gegen diese neue Bedrohung implementiert“.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.