Gefahr aus der Schattenwelt

Seite 2: Trau, schau wem

Trau, schau wem

Zusammen mit AV-Test hat heise Security die ADS-Tauglichkeit aktueller Virenscanner unter die Lupe genommen und getestet, ob die Produkte Schädlinge erkennen und beseitigen. Von den insgesamt 18 Produkten versagten fünf sowohl beim On-Demand-Scan als auch bei der On-Access-Erkennung. Auch das Hochstellen der verfügbaren Erkennungsoptionen half hier nicht. Nur fünf Viren-Wächter schützten zuverlässig vor dem testweise in einen Stream geschriebenen Win32/CIH und erkannte den Virus On-Demand und On-Access. Eine Übersicht der Ergebnisse finden Sie in unserer Produkttabelle.

Die anderen acht Scanner erkennen immerhin Viren und Würmer in Streams, wenn man auf die dazugehörige Datei zugreift (On-Access). Einige erforderten aber ebenfalls das Hochsetzen der Scan-Optionen, um Viren in Streams zu finden. Beispielsweise muss man bei Computer Associates die Option "Alternative Datenströme prüfen" anschalten, damit der Scanner auch bei On-Demand-Scans das Gewürm erkennt. c't empfiehlt daher, immer alle möglichen Optionen zur Suche nach Schädlingen zu setzen.

Die Gründe warum Trend Micro, NAV, BitDefender, F-Prot und die Virus Utilities den Virus nicht erkannten sind vielfältig. Bei Trend Micros Produkt muss der Key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ TmFilter\Parameters\TrapHiddenDataStream in der Registry auf 1 stehen, um Ströme On-Demand zu durchsuchen -- aus Performance-Gründen ist das bislang standardmäßig ausgeschaltet. Zukünftige Versionen von TIS sollen immerhin ADS per Default On-Access durchsuchen.

Symantec sucht nach eigenen Angaben grundsätzlich nicht in ADS nach Schädlingen, sondern versucht das Programm zu erkennen, welches beispielsweise den Wurm startet. Da aber auch ein Aufruf aus der Registry heraus beim Booten möglich ist und der Scanner dort nicht nach verdächtigen Einträgen Ausschau hält, steht dieser Ansatz auf tönernen Füßen. Schädlinge, die sich irgendwie am Scanner vorbeigeschummelt haben oder die bereits vor der Installation des Scanners das System unsicher machten, findet NAV nicht.

F-Prot unterstützt nach Aussage von Gretar Thor Gretarsson, Senior Software Developer, gar keine Streams, man plane aber dies in kommende Versionen zu implementieren. Von den anderen Hersteller haben wir bislang keine Stellungnahme zu dem Problem erhalten.

Selbsthilfe

Mit dem "ADS Aufspürer" kann der Anwender seine Festplatte nach Streams durchsuchen. Hat das Tool auf dem System einen verdächtigen Stream entdeckt, der Virenscanner aber nicht, hilft nur noch der Griff in die Trickkiste. Da nicht alle DOS-Kommandos Streams unterstützen, kann man sich durch das Hin- und Herkopieren in der Windowseingabeaufforderung eines ADS entledigen. Gemäß dem obigen Beispiel boot.ini:foo.exe benennt man boot.ini zunächst um und legt dann wieder eine Datei mit dem alten Namen an:

ren boot.ini tmp.ini type tmp.ini > boot.ini del tmp.ini

Da das Kommando type den Stream gänzlich ignoriert, ist der Schädling nun beseitigt. Alternativ verschwindet der Strom auch beim Verschieben der Datei auf eine FAT-Partition, das funktioniert dann sogar mit dem Windows Explorer. Hat sich ein ADS an ein Verzeichnis gehängt, beispielsweise an den Windows-Ordner, öffnet man den Stream zunächst mit Notepad:

notepad c:\windows:gemein.exe

Durch Löschen des Inhalts und anschließendes Speichern ist auch dieses Problem beseitigt, weitere Tipps dazu zeigt [9].

Fazit

Das Ergebnis unserer Untersuchung wirft die Frage auf, warum einige Hersteller die Suche in ADS vernachlässigen. Insbesondere das schlechte Abschneiden von BitDefender, Norton Antivirus und Trend Internet Security überrascht, schließlich sind ja bereits Schädlinge in freier Wildbahn unterwegs, die sich in Streams einnisten. Viele Privatanwender haben Windows und Daten immer noch auf FAT-Partitionen installiert -- die keine Alternate Data Streams unterstützen -- und müssen sich somit um dieses Problem vorläufig keine Gedanken machen. Gerade aber sicherheitsbewußte Anwender und Client-Administratoren in Unternehmen scheinen mit NTFS plötzlich die schlechtere Wahl getroffen zu haben. Die Hersteller müssen hier schnellsten nachbessern, um ihre Produkte wieder zuverlässig zu machen – egal für welches Dateisystem.