Neue gefährliche Virengeneration

Die russischen Antiviren-Experten vom Kaspersky Lab warnen vor einer neuen Generation von Computerviren, die sich selbst mittels einer „Stream Companion“ genannten Methode im NTFS-System von Windows 2000 einnisten. Erster Vertreter dieser neuen Gattung: Der W2K.Stream-Virus.

W2K.Stream ist laut Angaben von Kapersky im August von zwei tschechischen Hackern namens Benny und Ratter geschrieben worden. Zwar sei der Virus noch nicht in freier Wildbahn gesichtet worden, käme er aber ins internationale Netz, stünde es schlecht um die PCs der Internet-Gemeinde.

„Mit Sicherheit beginnt mit diesem Virus eine neue Ära der Computer-Sicherheit“, bekräftigt Firmenboss Eugene Kaspersky die Aussagen seiner Mitarbeiter. „Die ‚Stream Companion‘-Technik macht es extrem schwierig, das Programm mit herkömmlichen Detektoren ausfindig zu machen.“

Entgegen bisher bekannten Methoden der Datei-Infektion, bei denen das Virus sich an den Anfang, an das Ende oder in einen beliebigen Teil der zu infizierenden Datei hinein schreibt, nutzt das Stream-Virus ein spezifisches Feature des NTFS-Systems, das multiple Data Streams zulässt. In Windows 95 oder Windows 98 lässt das FAT-Dateisystem nur einen Data Stream zu – den Programm-Code selbst. Windows NT und Windows 2000 hingegen lassen eine Vielfalt von Neben-Streams in einer Datei zu, die als eigenständig ausführbare Programm-Module fungieren und oder als Servic-Modle Funktionen wie Datei-Zugriffsrechte, Verschlüsselung oder Processing Time ermöglichen.

W2K.Stream ist das erste bekannte Virus, das die multiplen Data Streams des NTFS-Dateisystems nutzt. Es generiert einen zusätzlichen Data Stream mit Namen STR und kopiert den ursprünglichen Inhalt des Programms dort hinein. Dann ersetzt es den eigentlichen Data Stream mit dem Virus-Code. Wenn die infizierte Datei ausgeführt wird, vollendet der Virus die Replizierungs-Prozeduren und übernimmt die vollständige Kontrolle über die Datei.

„Viele Anti-Virenprogramme prüften bisher unter NTFS nur den Haupt-Data Stream und können somit Kontrolle über dieses neue Virus bekommen. Wenn aber die Programmierer sich die Viren in die zusätzlichen Streams schreiben lassen werden, was durchaus möglich ist, werden sich einige Anti-Virenprogramm-Hersteller gezwungen sehen ihre Virus-Engines einem Redesign zu unterziehen“, kommentiert Eugene Kaspersky. „Kaspersky Lab hat bereits in sein AVP Antivirus einen Schutz gegen diese neue Bedrohung implementiert“.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

3 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

3 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

4 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

4 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago