Ergebnis 1 bis 9 von 9
Thema: Alternate Data Streams Alternate Data Streams - des Windows unbekannte Kinder Wie so vieles hier wieder eine Geschichte aus dem digitalen Leben. Da ...
  1. #1
    Brummelchen

    Alternate Data Streams

    Alternate Data Streams - des Windows unbekannte Kinder

    Wie so vieles hier wieder eine Geschichte aus dem digitalen Leben.
    Da ich ab und an meinen Rechner nach Malware absuchen lassen und wie
    immer auch gespannt davor sitze, ist mir eine Datei aufgefallen,
    die als "gesperrt" erkannt wurde, die ich aber noch nie gesehen hatte.

    C::BZ-VIRTUAL-LINK
    (kein Schreibfehler)

    Tja, unter C stand die aber nicht.
    Interessanterweise tauchten dann noch mehr dieser Dateien im Protokoll auf,
    in verschiedenen Ordner. Mein Zustand ging von auf über.
    Sollte mich da etwa...?
    Lange Frage, kurze Handlung: Image zurück.
    Dasselbe Spielchen von vorn - da auch der Mist drin.

    Ab zu Google - der kannte das nicht so oft:
    http://www.google.com/search?q=BZ-VIRTUAL-LINK

    Auf jedenfall waren die englisch und deutschsprachigen Seiten sehr rar,
    also liest man sich das wenige durch - und ist genauso schlau wie vorher:
    http://www.techsupportforum.com/secu...tual-link.html

    Ich habe mir dann aus besagtem Thema das Tool GMER* geholt und ausgeführt.
    Die Optionen sind alle aktiviert, auch rechts für ADS (Alternate Data Streams).
    Dann klickt man oben auf "> > >" und bekommt eine komplette Übersicht, was
    grad mitläuft oder geladen wurde. Schon mal nicht schlecht.

    Für mich war dann der Reiter "Files" interessant, ich wollte ja an diese Datei ran.
    Und da stand sie dann auch. Und ich fand auch die anderen Dateien.

    Allerdings habe ich mich über die Verteilung gewundert, denn es war grad eine
    Hand voll auf Laufwerk C verteilt. Wäre es Malware gewesen, müssten diese
    eigentlich überall stehen. Ebenso war ich schon die ganze Zeit stutzig über
    den Namen "BZ-VIRTUAL-LINK". Dieses BZ kannte ich eigentlich schon und
    aufgrund meiner Tätigkeiten damit war dann auch das Verteilungsmuster
    nicht mehr wunderlich: BufferZone

    Bufferzone ist wie Sandboxie eine virtuelle Umgebung, hier das erste mal besprochen:
    https://www.supernature-forum.de/tut...tml#post682858

    Ich also komplett C abgesucht, D, E, F usw. Ist sehr mühsam, sich da manuell
    durchzukämpfen, aber es gab eine Logik dabei:
    Finde ich zB Windows:BZ-VIRTUAL-LINK, weiss ich genau,
    dass ich weiter im Unterordner \Windows schauen musste nach weiteren Dateien
    dieser Art. Waren dort keine, musste ich nicht tiefer graben.

    Nochmal schönen Dank, ihr Pfeifen - weil diese Dateien nicht mal in deren Forum
    angesprochen wurde. Hat wohl auch noch nie jemand vorher gefunden!?


    Die Frage, was es war und wo ich es finde war jetzt also geklärt. Wäre da nicht
    noch etwas gewesen:

    Nochmal ADS, aber diesmal :Zone.Identifier.
    Ich fand Dateien, zB "abc.exe", die nochmal eine "abc.exe:Zone.Identifier"
    daneben stehen hatten. Also wieder Google bemüht:
    http://www.google.com/search?q=zone.identifier

    Und wieder fündig geworden:
    http://www.pbk-solutions.de/service/...dentifier.html

    Im konkreten Fall waren meine Office-Updates behaftet, da ich diese manuell heruntergeladen
    hatte - und wer kennt nicht diese tolle Abfrage von Windows.
    "Möchten Sie diese Datei wirklich ausführen?"

    Der :Zone.Identifier sagt in solchen Fällen aus, dass ich mir diese Datei aus dem Internet,
    einer unsicheren Zone, in einer sichere Zone, nämlichen meinen Rechner, heruntergeladen hatte.

    Nun lädt man sich ja nicht nur Updates herunter , also alles nochmal durchsuchen!?
    Ich bin doch nicht blöd

    Also suchte ich mir ein Programm, welches mir die Suche abnimmt - und bin auch fündig geworden:
    ADS Locator
    http://www.safer-networking.org/de/p...tools_ads.html
    Zu blöd nur, dass jenes nur finden konnte, ich musste jedesmal in GMER und dort löschen.
    Also zurück zu Google, dauerte auch etwas:
    www.sven-of-nine.de
    Links auf Downloads und runter blättern zum "datastream_viewer" (Streamview).

    Damit hatte ich das erste Programm gefunden, welches ADS finden und auch löschen konnte.
    - Laufwerk auswählen (evtl Pfad noch)
    - Scan
    - ADS (Stream) markieren
    - Stream löschen
    - alternativ: alle Streams diesen Typs löschen

    Super Sache. Nächste kleiner - Photoshop.exe war auch behaftet. Allerdings
    durch eine komische Nummer (ähnlich einer CLSID) und noch was (also doppelt).
    Zurück im GMER und nachgeschaut und eben gelöscht.
    Photoshop läuft trotzdem

    Also die Kombination aus Streamview und GMER ist schon toll.

    Ich bin dann noch auf StreamFinder gestossen, allerdings findet der nicht alles.
    http://www.gaijin.at/dlstreamfind.php
    Sei daher nur erwähnt, aber nicht empfohlen.

    Warum sind ADS (Streams) nun so wichtig?
    Dazu nochmal auf den heise-Artikel verlinkt:
    http://www.heise.de/security/Gefahr-.../artikel/52139

    Diese Streams sind eigentlich Dateien, auch ausführbar. Nur werden sie nicht angezeigt
    im Explorer, weder noch, da nützen auch "alle Dateien anzeigen" und Attribute nichts.

    Die Problematik steckt jedoch im Dateil, wenn man auf die nächste Seite blättert:
    ADS-Dateien wollen sich nicht immer finden lassen!

    Ich verlinke hier bewusst nochmal auf den Beitrag von Quhno:
    https://www.supernature-forum.de/sic...tml#post820883

    Die Essenz nochmal daraus:
    Ein infiziertes System lässt sich nicht bereinigen bzw reparieren!

    Wir predigen daher nicht umsonst, man möge formatieren oder ein sauberes Image
    zurückspielen. Nur der Entwickler weiss, welche Fallen eingebaut wurde.
    Alles andere ist nur Zeitverschwendung.

    *Anmerkung zu Gmer:
    Gmer legt 4 Dateien unter \Windows an (eine davon unter \system32), um
    arbeiten zu können. Danach einfach \Windows nach "gmer*" durchsuchen und löschen.



    Weiterführende Links:
    http://www.techsupportforum.com/secu...tual-link.html
    http://www.heise.de/security/Gefahr-.../artikel/52139
    http://de.wikipedia.org/wiki/Alternate_Data_Streams
    http://www.pbk-solutions.de/service/...dentifier.html

    http://www.safer-networking.org/de/p...tools_ads.html
    http://www.sven-of-nine.de/
    http://www.gaijin.at/dlstreamfind.php

    BufferZone (nicht empfohlen)
    http://www.trustware.com/

  2.   Anzeige

     
  3. #2
    Außer Betrieb Avatar von QuHno
    Registriert seit
    15.05.02
    Ort
    "Provinz voll Leben"
    Beiträge
    8.856

    AW: Alternate Data Streams

    Einen Link hab ich noch für Leute, die keine Angst vor der Eingabeaufforderung haben:
    Streams

    Damit kann man unter anderem prima verzeichnisweise rekursiv Streams löschen ...

  4. #3
    R.I.P. Avatar von SevenSpirits
    Registriert seit
    25.04.02
    Beiträge
    7.853

    AW: Alternate Data Streams

    https://www.supernature-forum.de/vir...z-scanner.html

    Entdeckt und enfernt Alternate Data Streams.

  5. #4
    R.I.P. Avatar von SevenSpirits
    Registriert seit
    25.04.02
    Beiträge
    7.853

    AW: Alternate Data Streams


  6. #5
    Moderator Avatar von Norbert
    Registriert seit
    25.02.08
    Ort
    β Aquarii
    Beiträge
    7.339

    AW: Alternate Data Streams

    Hallo SevenSpirits!

    Fehlermeldung vom Firefox...
    Sichere Verbindung fehlgeschlagen

    https://www.rus-cert.de verwendet ein ungültiges Sicherheitszertifikat.
    ...
    ...bei rus-cert.de. Ist die Verbindung trotzdem unbedenklich?
    (Bei allem, was irgendwie russisch klingt, bin ich lieber vorsichtig.)

    LG
    Norbert

  7. #6
    Außer Betrieb Avatar von QuHno
    Registriert seit
    15.05.02
    Ort
    "Provinz voll Leben"
    Beiträge
    8.856

    AW: Alternate Data Streams

    Ja, die Verbindung ist OK und Du kannst das Zertifikat dennoch annehmen. Denen war es lediglich zu teuer, ein neues Zertifikat zu kaufen bzw. es verlängern zu lassen.

    RUS steht hierbei übrigens für "Rechenzentrum der Universität Stuttgart" und deren Computer Emergency Response Team ist das älteste und IMHO bestgepflegte Deutschlands

  8. #7
    kennt sich schon aus
    Registriert seit
    08.09.08
    Ort
    Österreich
    Beiträge
    25

    AW: Alternate Data Streams

    Hallo,

    dazu noch ein Tool:
    LADS - List Alternate Data Streams

    Gruß,
    Növize

  9. #8
    Außer Betrieb Avatar von QuHno
    Registriert seit
    15.05.02
    Ort
    "Provinz voll Leben"
    Beiträge
    8.856

    AW: Alternate Data Streams

    ... oder auf Deutsch inklusive des restlichen dazu gehörigen Framesets, damit man die FAQ und auch die anderen nützlichen Werkzeuge auf der Seite besser finden kann
    Das Programm LADS - List Alternate Data Streams.


    Eine Sache muss man allerdings dazu sagen:
    Nicht alle Streams sind schädlich, die meisten werden sogar gebraucht, da sich in ihnen wichtige Informationen zu den einzelnen Dateien befinden - also nicht blind auf löschen klicken sobald man einen Stream gefunden hat, sondern erst einmal hineinsehen und im Zweifelsfall jemanden fragen, der mit den entsprechenden Informationen etwas anfangen kann.
    Geändert von QuHno (19.02.09 um 09:41 Uhr)

  10. #9
    R.I.P. Avatar von SevenSpirits
    Registriert seit
    25.04.02
    Beiträge
    7.853

    AW: Alternate Data Streams

    ADS Alternate Data Streams - Software und Forenbeiträge
    sind nun unter der vorgenannten URL auch über die Stichwort-Suche zu finden.

Ähnliche Themen

  1. WindowsXP Streams aufzeichnen
    Von Klako im Forum Alles rund um Windows
    Antworten: 7
    Letzter Beitrag: 17.11.08, 20:24
  2. Online-Streams
    Von chip im Forum Hot Links
    Antworten: 2
    Letzter Beitrag: 26.07.08, 10:14
  3. [Vorschläge und Wünsche] Alternate Data Streams
    Von Hannes Rannes im Forum freeCommander - Freeware-Dateimanager
    Antworten: 1
    Letzter Beitrag: 04.02.07, 00:08
  4. Streams aufnehmen
    Von Watcher im Forum Allgemeine Computerfragen
    Antworten: 4
    Letzter Beitrag: 11.09.05, 00:14
  5. Winamp Video streams
    Von Karl der Käfer im Forum Allgemeine Computerfragen
    Antworten: 8
    Letzter Beitrag: 06.12.04, 03:06

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Search Engine Friendly URLs by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55