|
|
|
In Hackerkreisen ist eine völlig neue Viren-Variante aufgetaucht. Der erste Vertreter dieser
neuen Plagegeister-Generation ist das Virus W2K.Streams. Es wurde von russischen Antiviren-
Spezialisten entdeckt und soll von zwei Hackern Ende August entwickelt worden sein.
Was den Virenschutz bisher unmöglich macht, ist die Technologie, mit der das Virus arbeitet. Bisherige Schädlinge hängten sich an Dateibeginn oder -ende oder betteten sich in den Programm-Code ein. W2K.Streams hingegen nutzt ein spezielles Merkmal des Dateiensystems NTFS (New Technology File System) von Windows 2000 und NT und zwar die Aufteilung von Dateien in mehrere Streams.
Windows 2000 und NT machen es möglich, eine Datei statt über einen über mehrere Streams
anzusprechen. Dazu können zum Beispiel Service-Streams (Zugriffsrechte, Verschlüsselungsdaten
usw.) gehören. W2K.Stream erzeugt einen Stream namens STR und kopiert den ursprünglichen Datei
-Inhalt dort hinein. Dann ersetzt es den Hauptstream durch den Virus-Code. Wird das infizierte
Programm gestartet, beginnt der Unhold sein Werk. Er setzt sich in anderen Datenstreams fest.
Anschließend übergibt er durch Erzeugung eines neuen Prozesses die Kontrolle an den
eigentlichen Programm-Code.
Das Schädlingsprogramm ist als Windows-Anwendung erstellt und als selbstentpackende Datei
komprimiert. Es hat eine Länge von vier KByte und infiziert alle Anwendungen im momentan
aktiven Verzeichnis. Befallene Dateien haben alle die Länge von vier KByte. Tritt während der
Ausführung ein Fehler auf, erscheint eine Nachricht auf dem Monitor. Durch Löschen der
befallenen Dateien wird das Virus entfernt.
Noch bedeutet W2K-Stream keine akute Gefahr, da es sich im Haupt-Stream einnistet, der von
allen Antiviren-Programmen überprüft wird. Der russische Antiviren-Spezialist Eugene Kaspersky
gibt jedoch zu bedenken, dass neue Varianten des Virus andere Streams angreifen könnten. In
diesem Fall würde die momentane Antiviren-Software völlig wirkungslos.
