Virengefahr

Teil 2: Viren im Versteck

Über die Programmierschnittstellen von Windows lassen sich ADS einfach erzeugen und verwalten. Das klappt aber auch mit Handarbeit auf der Kommandozeile. Der Befehl

Viren im Versteck

© Archiv

type notepad.exe > test.txt:np.exe

fügt beispielsweise den Windows-Editor (notepad.exe) an die Textdatei test.txt als Stream np.exe an. Ein Doppelpunkt trennt den normalen Dateinamen vom Namen des Streams. Im Windows Explorer ist kein Unterschied zu sehen, auch nicht in der Eingabeaufforderung. Die ursprüngliche Dateigröße wird ebenfalls gleich angezeigt, obwohl eine Datei mit ADS-Anhang natürlich physikalisch mehr Platz auf der Platte einnimmt.

Den Inhalt eines Stroms kann ein Programm über die Windows-API auslesen. Von Hand gelingt das auf der Kommandozeile ähnlich wie beim Erzeugen. Dazu müssen Sie aber den Namen des ADS kennen. Für eine Textdatei im ADS sieht das so aus:

more < test.txt:versteckt.txt >
temporaer.txt

Damit landet der Inhalt des Streams in temporaer. txt. Für Binärdateien ist das Kommando cat aus dem Resource Kit zu Windows 2000 und XP zuständig.

Eine Programmdatei in einem Datenstrom lässt sich leicht starten. Auf der Kommandozeile ist dafür der Befehl start zuständig:

start .	est.txt:np.exe

Die Pfadangabe vor dem Dateinamen ist erforderlich, sonst meldet Windows einen Fehler. Mit der gleichen Schreibweise lässt sich ein solches Programm auch über ein Script oder einen Eintrag in der Registry starten. Damit gelingt es einem Wurm oder Spyware problemlos, die verschiedenen Autostart-Optionen von Windows auszunutzen und sich selbst effektiv zu verstecken.

Wer herausfinden will, welche Streams sich auf seinem PC tummeln, kann auf einige nützliche Freeware-Tools zurückgreifen. ADS Locator von Safer Networking durchsucht ein ausgewähltes Verzeichnis nach Streams und zeigt eine Liste an (www.safer-networking.org/de/ tools/). Über einen Menüpunkt speichern Sie den Inhalt eines Streams als normale Datei. Ein zweites Tool ergänzt das dir-Kommando auf der Befehlszeile. Ähnlich funktioniert CrucialADS (www.crucialsecurity.com).

Mehr Komfort gibt es beim Stream Explorer (www.rekenwonder.com). Wie im normalen Explorer haben Sie einen Ordnerbaum und eine Dateiliste, ganz rechts sind die Datenströme der markierten Datei sichtbar. Unten weist ein Hexdump den Inhalt des markierten Streams aus. Einen Stream als Datei zu sichern ist leider nicht vorgesehen.

Das bekannte Anti-Spyware-Programm Ad- Aware SE (www.lavasoft.de) besitzt ebenfalls eine Funktion, um Streams aufzuspüren. Unter Scan Now aktivieren Sie die Option Scan volume for ADS.

Wenn Sie die ADS einer Datei oder eines Verzeichnisses loswerden wollen, gibt es einen einfachen Weg. Kopieren Sie die Datei auf ein Laufwerk, das mit dem FAT-Dateisystem formatiert ist. Hier genügt schon ein USB-Stick. Da FAT keine ADS kennt, gehen dabei die zusätzlichen Informationen verloren. Windows XP warnt Sie bei einem solchen Kopiervorgang vor einem "Datenstromverlust."

Wenn Sie den Inhalt eines Streams als separate Datei sichern wollen, erledigen Sie das am besten mit dem Tool ADS Locator. Textdateien können Sie wie gezeigt mit more auf der Kommandozeile extrahieren.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.