Virengefahr

Teil 3: Viren im Versteck

Weil Alternate Data Streams als Versteck für Malware aller Art dienen kann, sollten Antivirenprogramme diese auch durchsuchen. Im Test offenbarten einige bekannte Programme aber eklatante Schwachstellen. Panda Titanium Antivirus 2005 etwa ignoriert die Streams ebenso wie BitDefender 8 und F-Secure Anti- Virus 2005. Norton Antivirus überprüft keine ADS beim Scan auf der Festplatte, der Virenwächter verhindert aber die Ausführung eines infizierten Streams. PC-cillin 12 verhält sich genauso, die ADS-Suche im Virenscanner lässt sich aber über den Registry-Schlüssel (HKEY_LOCAL_MACHINESYSTEMCurrent- ControlSetServicesTmFilterParametersTrap HiddenDataStream als DWord auf 1 setzen) von Hand aktivieren. Der Hersteller Trend Micro verweist auf Performance-Gründe für dieses Vorgehen. Antivir von H+B EDV geht einen interessanten Weg, um verdächtige Datenströme im Virenwächter zu untersuchen. Standardmäßig durchsucht das Tool einen Datenstrom nur dann, wenn ein direkter Zugriff darauf erfolgt. Startet zum Beispiel ein manipulierter Autostart-Eintrag einen Schädling aus einem ADS, so erfolgt eine Prüfung. Öffnen Sie aber die Hauptdatei, etwa ein Bild, mit dem passenden Programm, so wird der ADS nicht geprüft. Über eine Extra-Option prüft Antivir bei jedem Zugriff auf ADS - der Hersteller warnt aber vor Leistungseinbußen im normalen Betrieb.

Viren im Versteck

© Archiv

Gefährliche Strömung: Beim Kopieren auf ein FAT-formatiertes Laufwerk gehen Daten in ADS verloren.

Weil Alternate Data Streams als Versteck für Malware aller Art dienen kann, sollten Antivirenprogramme diese auch durchsuchen. Im Test offenbarten einige bekannte Programme aber eklatante Schwachstellen. Panda Titanium Antivirus 2005 etwa ignoriert die Streams ebenso wie BitDefender 8 und F-Secure Anti- Virus 2005. Norton Antivirus überprüft keine ADS beim Scan auf der Festplatte, der Virenwächter verhindert aber die Ausführung eines infizierten Streams. PC-cillin 12 verhält sich genauso, die ADS-Suche im Virenscanner lässt sich aber über den Registry-Schlüssel (HKEY_LOCAL_MACHINESYSTEMCurrent- ControlSetServicesTmFilterParametersTrap HiddenDataStream als DWord auf 1 setzen) von Hand aktivieren. Der Hersteller Trend Micro verweist auf Performance-Gründe für dieses Vorgehen. Antivir von H+B EDV geht einen interessanten Weg, um verdächtige Datenströme im Virenwächter zu untersuchen. Standardmäßig durchsucht das Tool einen Datenstrom nur dann, wenn ein direkter Zugriff darauf erfolgt. Startet zum Beispiel ein manipulierter Autostart-Eintrag einen Schädling aus einem ADS, so erfolgt eine Prüfung. Öffnen Sie aber die Hauptdatei, etwa ein Bild, mit dem passenden Programm, so wird der ADS nicht geprüft. Über eine Extra-Option prüft Antivir bei jedem Zugriff auf ADS - der Hersteller warnt aber vor Leistungseinbußen im normalen Betrieb.

Viren im Versteck

© Archiv

Halbe Miete: Norton Antivirus 2005 verhindert zwar die Ausführung eines Streams, versagt aber beim Durchsuchen von Dateien.

Mehr zum Thema

festplatte, hardware, pc, hdd
Gelöschte Dateien wiederherstellen

Wir zeigen Ihnen, wie Sie verloren geglaubte Daten retten können - etwa mit dem kostenlosen Tool Recuva.
Windows 10 Sicherheit: Symbolbild
Computer ohne Werbung

Wir zeigen, wie Sie Adware vermeiden, damit Sie sich im Anschluss an die Installation nicht mühsam entfernen müssen.
Sicherheit im Urlaub
Diebstahlschutz, offene WLANs und Co.

Diebstahlschutz für Smartphones, Schutz in offenen WLANs und Co: Worauf Sie beim Reisen achten sollten, um böse Überraschungen zu vermeiden.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Festplatte Verschlüsselung
Windows

Wir vergleichen den mittlerweile eingestellten Marktführer TrueCrypt mit dem Nachfolger Veracrypt und der Alternative Bitlocker.