Virengefahr

Teil 3: Viren im Versteck

Weil Alternate Data Streams als Versteck für Malware aller Art dienen kann, sollten Antivirenprogramme diese auch durchsuchen. Im Test offenbarten einige bekannte Programme aber eklatante Schwachstellen. Panda Titanium Antivirus 2005 etwa ignoriert die Streams ebenso wie BitDefender 8 und F-Secure Anti- Virus 2005. Norton Antivirus überprüft keine ADS beim Scan auf der Festplatte, der Virenwächter verhindert aber die Ausführung eines infizierten Streams. PC-cillin 12 verhält sich genauso, die ADS-Suche im Virenscanner lässt sich aber über den Registry-Schlüssel (HKEY_LOCAL_MACHINESYSTEMCurrent- ControlSetServicesTmFilterParametersTrap HiddenDataStream als DWord auf 1 setzen) von Hand aktivieren. Der Hersteller Trend Micro verweist auf Performance-Gründe für dieses Vorgehen. Antivir von H+B EDV geht einen interessanten Weg, um verdächtige Datenströme im Virenwächter zu untersuchen. Standardmäßig durchsucht das Tool einen Datenstrom nur dann, wenn ein direkter Zugriff darauf erfolgt. Startet zum Beispiel ein manipulierter Autostart-Eintrag einen Schädling aus einem ADS, so erfolgt eine Prüfung. Öffnen Sie aber die Hauptdatei, etwa ein Bild, mit dem passenden Programm, so wird der ADS nicht geprüft. Über eine Extra-Option prüft Antivir bei jedem Zugriff auf ADS - der Hersteller warnt aber vor Leistungseinbußen im normalen Betrieb.

Viren im Versteck

© Archiv

Gefährliche Strömung: Beim Kopieren auf ein FAT-formatiertes Laufwerk gehen Daten in ADS verloren.

Weil Alternate Data Streams als Versteck für Malware aller Art dienen kann, sollten Antivirenprogramme diese auch durchsuchen. Im Test offenbarten einige bekannte Programme aber eklatante Schwachstellen. Panda Titanium Antivirus 2005 etwa ignoriert die Streams ebenso wie BitDefender 8 und F-Secure Anti- Virus 2005. Norton Antivirus überprüft keine ADS beim Scan auf der Festplatte, der Virenwächter verhindert aber die Ausführung eines infizierten Streams. PC-cillin 12 verhält sich genauso, die ADS-Suche im Virenscanner lässt sich aber über den Registry-Schlüssel (HKEY_LOCAL_MACHINESYSTEMCurrent- ControlSetServicesTmFilterParametersTrap HiddenDataStream als DWord auf 1 setzen) von Hand aktivieren. Der Hersteller Trend Micro verweist auf Performance-Gründe für dieses Vorgehen. Antivir von H+B EDV geht einen interessanten Weg, um verdächtige Datenströme im Virenwächter zu untersuchen. Standardmäßig durchsucht das Tool einen Datenstrom nur dann, wenn ein direkter Zugriff darauf erfolgt. Startet zum Beispiel ein manipulierter Autostart-Eintrag einen Schädling aus einem ADS, so erfolgt eine Prüfung. Öffnen Sie aber die Hauptdatei, etwa ein Bild, mit dem passenden Programm, so wird der ADS nicht geprüft. Über eine Extra-Option prüft Antivir bei jedem Zugriff auf ADS - der Hersteller warnt aber vor Leistungseinbußen im normalen Betrieb.

Viren im Versteck

© Archiv

Halbe Miete: Norton Antivirus 2005 verhindert zwar die Ausführung eines Streams, versagt aber beim Durchsuchen von Dateien.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Software Installation
Computer ohne Werbung

Wer unachtsam Programme installiert, kann sich schnell unerwünschte Software-Parasiten einfangen. Wir geben 5 Tipps, wie Sie Adware vermeiden.
Spam-Mails
6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing E-Mails erkennen und sich schützen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.