Das Virus W2K.Streams, der erste Vertreter dieser neuen Gattung, wurde am Wochenende vom russischen Antiviren-Spezialisten Kaspersky Lab entdeckt. Zwei Hacker mit den Decknamen Benny und Ratter hatten W2K.Streams offenbar Ende August entwickelt. Das Virus nutzt eine bahnbrechende neue Technik auf Basis von NTFS-Datei-Streams, um sich auf NTFS-Filesystemen einzunisten.
Im Gegensatz zu bisher gängigen Viren - sie hängen sich an Dateibeginn oder -ende an beziehungsweise betten sich in den Programm-Code ein - nutzt W2K.Streams ein spezielles Feature des NTFS-Filesystems von Windows NT/2000 aus: die Aufteilung von Dateien in mehrere Streams.
Funktionsweise
In Win9x etwa existiert lediglich ein Stream, der Programm-Code selbst. WinNT/2K ermöglicht dagegen, eine Datei über mehrere Streams (über filename:streamname) anzusprechen. Zu diesen können unabhängig ausführbaren Programm-Modulen oder auch Service-Streams (Zugriffsrechte, Verschlüsselungsdaten, Verarbeitungszeit usw.) zählen. Dieses Merkmal macht das NTFS -Dateisystem sehr vielseitig verwendbar, da sich für spezifische Aufgabenstellungen jeweils angepasste Daten-Streams erzeugen lassen.
W2K.Stream ist der erste bekannte Virus, der dieses Feature nutzt, um über multiple Streams Dateien auf NTFS-Filesystemen zu infizieren. Dazu erzeugt das neue Virus einen Stream namens STR und kopiert den ursprünglichen Datei-Inhalt dorthin. Dann ersetzt es den Haupt-Stream durch den Virus-Code. Wird das so infizierte Programm später gestartet, übernimmt der Virus die Kontrolle und beginnt mit seiner Replikation in andere Daten-Streams. Anschließend übergibt er durch die Erzeugung eines neuen Prozesses für filename:STR die Kontrolle an den eigentlichen Programm-Code.
Erkennung und Abwehr
Zwar gefährdet die neue Virus-Variante alle Rechner mit NTFS-Dateisystem, bislang attackiert W2K.Streams jedoch lediglich Windows2000-Maschinen. Das als Windows-Anwendung programmierte und per EXE-Packer komprimierte Schadprogramm hat eine Länge von 4 KByte. Wird es gestartet, infiziert es alle Anwendungen im momentan aktiven Verzeichnis. Die befallenen Files lassen sich leicht erkennen: Sie haben alle die Länge 4 KByte, da Windows die Größe des Haupt-Streams als Dateigröße ausgibt.
Tritt während der Virus-Ausführung ein Fehler auf, meldet sich W2K-Streams mit einem Message-Fenster zu Wort: "This cell has been infected by [Win2k.Stream] virus!". Durch Löschen der befallenen Dateien lässt sich auch der Virus entfernen, da Windows in diesem Fall alle Streams mit löscht. Bei schlichtem Umbenennen der Files folgt der Stream dagegen dem neuen Namen.
Gefahr im Verzug
Im Moment bedeutet W2K-Streams noch keine akute Gefahr, da es sich lediglich im Haupt-Stream einnistet. Den überprüfen jedoch alle Antiviren-Programme. "Der Schutz gegen diesen spezifischen Virus gestaltet sich unproblematisch", erläutert Eugene Kaspersky, der Forschungs-Leiter von Kaspersky Lab. "Allerdings könnten neue Varianten des Virus andere Streams angreifen. In diesem Fall würden die momentanen Antiviren-Programme völlig wirkungslos, die Antiviren-Engines müssten komplett überarbeitet werden." Der Grund: Bislang scannt kein Antiviren-Tool auch die Neben-Streams einer Datei.
Zwar sind laut Kaspersky bislang noch keine Infektionen mit dem Virus bekannt geworden, die destruktiven Kapazitäten des Virus schätzt man jedoch als beträchtlich ein. Angesichts des bekannten "Spieltriebs" der Viren-Freaks - man denke nur an die zahlreichen Varianten des VBS.Loveletter - werden mit Sicherheit schon bald virulentere Spielarten des W2K.Streams in der freien Wildlaufbahn auftauchen. Falls Sie also einen Rechner mit NTFS -Dateisystem Ihr Eigen nennen, sollten Sie in nächster Zeit regelmäßig die Site Ihres Antiviren-Herstellers nach Programm-Updates überprüfen.
Interview mit Eugene Kaspersky
Um die genauen Konsequenzen der neuen Viren-Bedrohung auszuloten, sprach tecChannel mit Eugene Kaspersky. Der russische Antiviren-Spezialist beschäftigt sich seit 1989 mit der Erkennung und Beseitigung von Computerviren. Sein international renommiertes Unternehmen Kaspersky Lab stellt den bekannten Virenscanner AVP für DOS und alle Windows-Varianten her; daneben offeriert Kaspersky auch Antiviren- und Anti-Trojaner-Tools für Microsoft Office, Novell Netware und verschiedene Unix-Derivate (u.a. Linux).
tecChannel: Herr Kaspersky, welche Benutzer betrifft die Gefährdung durch die neuen Stream-Viren?
Kaspersky: Davon sind grundsätzlich alle Rechner mit NTFS-Dateisystemen - also alle Systeme unter Windows NT oder 2000 - betroffen. Im Nachhinein ist es erstaunlich, dass diese Bedrohung nicht schon früher aufgetaucht ist: Bei den NTFS-Streams handelt es sich ja um kein neues Feature, sie waren schon immer vorhanden. Bislang ist allerdings noch kein Viren-Programmierer auf die Idee gekommen, diese Lücke auszunutzen.
"Ein Signatur-Update hilft da gar nichts"
tecChannel: Schützen die heute verfügbaren Antiviren-Tools gegen Stream-Viren?
Kaspersky: Ja und nein. Mit dem jetzt entdeckten W2K.Streams sollte es da keine Probleme geben. Er lässt sich über seinen Trigger im Programm-Code identifizieren - das schaffen nach einem Signatur-Update alle gängigen Scanner. Die Situation könnte sich aber sehr schnell ändern. Für einen gewieften Programmierer wäre es etwa kein Problem, den Virus-Code, statt wie momentan in den Haupt-Stream, in einen Sub-Stream zu verlagern. Ein scheinbar harmloses "Haupt"-Programm im Primär-Stream könnte dann den Virus - unbemerkt von Anwender und Virenscanner - aktivieren.
tecChannel: Damit würde der Stream-Virus dann also alle momentan verfügbaren Scanner aushebeln?
Kaspersky: Genau. Um ihm auf die Spur zu kommen, müsste der Virenscanner alle NTFS -Files auf Sub-Streams überprüfen, diese dann auslesen, und zu guter Letzt jeden davon einzeln scannen. Ein schlichtes Signatur-Update hilft da gar nichts, dazu müssen die Antiviren-Hersteller ihre kompletten Scan-Engines völlig umkrempeln. Meines Wissens checkt bis jetzt keine einzige Engine die Sub-Streams.
tecChannel: Die Untersuchung aller Streams würde die Scan-Zeiten dramatisch verlängern, nicht wahr?
Kaspersky: Wir rechnen mit einer Erhöhung der Scan-Zeiten um mindestens 30 Prozent, im Einzelfall kann es aber auch wesentlich mehr sein. Es handelt sich um eine recht komplizierte Angelegenheit. Sie können sich das vorstellen wie bei einer Archivdatei, etwa einem ZIP: Das File entspräche dem Archiv, die einzelnen Streams den Dateien im Archiv. Alle sind einzeln "auszupacken" und dann zu untersuchen. Es kommt aber noch schlimmer: Möchte man ein infiziertes File nicht einfach löschen, sondern den Inhalt retten, müsste man quasi die einzelne "Datei" säubern und wieder ins "Archiv" zurückpacken. Das ist in der Praxis kaum zu realisieren.
"Keine effektiven Bekämpfungsverfahren"
tecChannel: Das hört sich aber kompliziert an. Wie schwierig ist denn die Anpassung der momentanen Scan-Engines für Stream-Viren?
Kaspersky: Das lässt sich auf keinen Fall von heute auf morgen erledigen, sondern erfordert eine komplette Überarbeitung der Engines. Die momentan zur Blockierung der Viren nutzbaren Tricks arbeiten noch nicht effektiv genug, belegen reichlich System-Ressourcen und destabilisieren das System insgesamt. Wir arbeiten schon daran, wirksamere Verfahren in unser neues AVP 4.0 einzubauen. Aber das dauert eine Weile: Zwar wollen wir noch im Oktober die erste Beta ausliefern, die Release könnte aber bis Anfang 2001 auf sich warten lassen. Auch andere Hersteller werden nach unserer Einschätzung nicht wesentlich schneller in der Lage sein, auf modifizierte Stream-Viren zu reagieren.
tecChannel: Das hieße ja, dass es für etwa das nächste Vierteljahr keine effektiven Abwehrmöglichkeiten gegen solche Stream-Viren gibt?
Kaspersky: Das trifft nicht ganz exakt zu. Zumindest lassen sich Stream-Viren schon bald erkennen, die Verfahren zu ihrer Bekämpfung sind zugegeben noch nicht ideal. Das ist zwar unangenehm, aber eigentlich nichts Ungewöhnliches. Als Antiviren-Experten können wir auf neuartige Bedrohungen notgedrungen nur reagieren - das war schon immer so. Ich rate den Benutzern, bei Software aus nicht genau einschätzbaren Quellen in der nächsten Zeit äußerste Vorsicht walten zu lassen. So sollte man etwa neue Programme - gerade, wenn Sie aus dem Internet kommen - nach Möglichkeit erst einmal auf einem isolierten Testsystem evaluieren.
tecChannel: Vielen Dank für das aufschlussreiche Gespräch, Herr Kaspersky.
Fazit
Mit den Stream-Viren tickt eine Zeitbombe unter den Stühlen der Windows-NT/2000-Benutzer. Noch kann der neu entdeckte W2K.Stream keinen großen Schaden anrichten - eine gründliche, ständige Überwachung des Rechners auf Viren vorausgesetzt. Es steht allerdings zu befürchten, dass sich diese Situation schon bald dramatisch verschlechtert.
Erfahrungsgemäß betrachten sich typische Viren-Programmierer als Exponenten der Techno-Front und lassen kein mögliches neues "Spielzeug" außer Acht. Zu sehr reizen da die technische Herausforderung und die Möglichkeiten der neuen Stream-Viren. Das Erscheinen aggressiverer NTFS-Viren-Varianten, die durch Nutzung von Neben-Streams die gängigen Virenscanner aushebeln, wird also nicht mehr lange auf sich warten lassen.
Eine direkte Abwehr lässt sich momentan nicht realisieren, lediglich klassische Präventivmaßnahmen bieten einen gewissen Schutz. Wie ein Damokles-Schwert schwebt eine Neuauflage der VBS.Loveletter-Affäre über den Köpfen von Privatanwendern und Wirtschaft. Falls diese die gebotenen Sicherheitsmaßnahmen im jetzigen Fall ebenso blauäugig ignorieren, könnte der Schaden diesmal noch dramatischer ausfallen. jlu)