Computerviren: Grundlagen

Neu: Angriff über NTFS-Streams

Anfang September 2000 sahen sich Windows-NT/2000-User einer völlig neuen Virengattung ausgesetzt, die alle bis dato implementierten Abwehrmaßnamen unterlief. W2K.Stream, so der Name des Schädlings, nutzt ein spezielles Feature des NTFS-Filesystems: Die Aufteilung von Dateien in mehrere Streams.

In Windows 9x beispielsweise existiert lediglich ein Stream, der Programmcode selbst. Windows NT/2000 ermöglicht dagegen, eine Datei über mehrere Streams (über filename:streamname) anzusprechen. Zu diesen können unabhängig ausführbare Programm-Module oder auch Service-Streams (Zugriffsrechte, Verschlüsselungsdaten, Verarbeitungszeit usw.) zählen. Dieses Merkmal macht das NTFS-Dateisystem sehr vielseitig verwendbar, da sich für spezifische Aufgabenstellungen jeweils angepasste Daten-Streams erzeugen lassen.

W2K.Stream ist der erste bekannte Virus, der dieses Feature nutzt, um über multiple Streams Dateien auf NTFS-Filesystemen zu infizieren. Dazu erzeugt das neue Virus einen Stream namens STR und kopiert den ursprünglichen Datei-Inhalt dorthin. Dann ersetzt es den Haupt-Stream durch den Virus-Code. Wird das so infizierte Programm später gestartet, übernimmt der Virus die Kontrolle und beginnt mit seiner Replikation in andere Daten-Streams. Anschließend übergibt er durch die Erzeugung eines neuen Prozesses für filename:STR die Kontrolle an den eigentlichen Programm-Code.