Dateien sicher verstecken: So findet sie kein Unbefugter

Einen versteckten Speicherort wie NTFS-Filestreams haben auch viele Viren und andere Schädlinge schon lange für sich entdeckt. Noch vor wenigen Jahren konnten sie sich dort tummeln, ohne befürchten zu müssen, von einem Antivirus-Programm entdeckt zu werden.

ZDNet hat verschiedene aktuelle Programme überprüft. Getestet wurden BitDefender Antivirus 2010, AVG Anti-Virus 8.5, Avira AntiVir Personal 9 und Microsoft Security Essentials Beta. Dazu wurde der leicht zu erkennende Virus Win32/Virut, der sich in einer auf einschlägigen Tauschbörsen verfügbaren Version des Spiels StarCraft eingenistet hat, im Stream Test.txt:virus versteckt. Weder der Datei-, noch der Streamname haben darauf hingewiesen, dass es sich um die ausführbare Datei StarCraft.exe handelt.

Das Ergebnis ist eindeutig: Alle getesteten Programme haben den Virus sicher erkannt, siehe Bild 8. Bei den meisten Programmen, musste jedoch von Hand eingestellt werden, dass auch Dateien durchsucht werden sollen, die nicht ausführbar sind.

Die Default-Einstellungen der meisten Antivirenhersteller sind also beim Scan nicht gut genug. Ausführbare Dateien in Streams lassen nämlich sich direkt aus einem NTFS-Filestream starten, unabhängig davon, wie ihr Name lautet. Mit dem Kommandozeilenbefehl WMIC PROCESS CALL CREATE "<Dateiname>" kann man das leicht ausprobieren. Für <Dateiname> muss dabei immer ein vollständiger Pfadname wie C:Testtest.txt:virus verwendet werden.

Unterschiede zeigten die Programme bei der Behandlung der verseuchten Datei. Microsoft Security Essentials und BitDefender haben die infizierte Datei korrekt repariert, so dass der Originalzustand wieder hergestellt wurde. AVG und Avira nahmen die Datei in Quarantäne und boten nur eine Löschung an. Immerhin entfernten beide Programme bei der Löschung nur den infizierten Stream und ließen die Datei ansonsten intakt.